Lỗ hổng bảo mật được biết đến với tên gọi Blind Eagle đã bị liên kết với một loạt các chiến dịch đang diễn ra nhắm vào các tổ chức và cơ quan chính phủ Colombia kể từ tháng 11 năm 2024.

“Các chiến dịch được giám sát nhắm vào các cơ quan tư pháp Colombia và các tổ chức chính phủ hoặc tư nhân khác, với tỷ lệ lây nhiễm cao,” Check Point cho biết trong một phân tích mới. “Hơn 1.600 nạn nhân đã bị ảnh hưởng trong một trong những chiến dịch này diễn ra vào khoảng ngày 19 tháng 12 năm 2024. Tỷ lệ lây nhiễm này là đáng kể khi xét đến phương pháp APT có mục tiêu cụ thể của Blind Eagle”. Blind Eagle, hoạt động ít nhất từ năm 2018, cũng được theo dõi với các tên gọi AguilaCiega, APT-C-36 và APT-Q-98. Nhóm này nổi tiếng với việc nhắm mục tiêu cực kỳ cụ thể vào các thực thể ở Nam Mỹ, đặc biệt là Colombia và Ecuador.

Các chuỗi tấn công được tổ chức bởi tác nhân đe dọa bao gồm việc sử dụng các chiến thuật kỹ nghệ xã hội, thường ở dạng email lừa đảo có chủ đích (spear-phishing), để giành quyền truy cập ban đầu vào các hệ thống mục tiêu và cuối cùng là triển khai các trojan truy cập từ xa (remote access trojans – RAT) có sẵn như AsyncRAT, NjRAT, Quasar RAT và Remcos RAT. Bộ xâm nhập mới nhất đáng chú ý vì ba lý do: Việc sử dụng một biến thể của một khai thác cho một lỗ hổng Microsoft Windows hiện đã được vá (CVE-2024-43451), việc áp dụng một dịch vụ đóng gói (packer-as-a-service – PaaS) mới có tên HeartCrypt, và việc phân phối các payload thông qua Bitbucket và GitHub, vượt ra ngoài Google Drive và Dropbox.

Cụ thể, HeartCrypt được sử dụng để bảo vệ tệp thực thi độc hại, một biến thể của PureCrypter, sau đó chịu trách nhiệm khởi chạy phần mềm độc hại Remcos RAT được lưu trữ trên một kho lưu trữ Bitbucket hoặc GitHub hiện đã bị xóa. CVE-2024-43451 đề cập đến một lỗ hổng tiết lộ hash NTLMv2 đã được Microsoft vá vào tháng 11 năm 2024. Theo Check Point, Blind Eagle đã kết hợp một biến thể của khai thác này vào kho vũ khí tấn công của họ chỉ sáu ngày sau khi bản vá được phát hành, khiến các nạn nhân không nghi ngờ thúc đẩy quá trình lây nhiễm khi một tệp .URL độc hại được phân phối qua email lừa đảo được nhấp thủ công.

“Mặc dù biến thể này không thực sự tiết lộ hash NTLMv2, nhưng nó thông báo cho các tác nhân đe dọa rằng tệp đã được tải xuống bởi các tương tác người dùng-tệp bất thường tương tự,” công ty an ninh mạng cho biết. “Trên các thiết bị dễ bị tấn công CVE-2024-43451, yêu cầu WebDAV được kích hoạt ngay cả trước khi người dùng tương tác thủ công với tệp bằng hành vi bất thường tương tự. Trong khi đó, trên cả hệ thống đã vá và chưa vá, việc nhấp thủ công vào tệp .URL độc hại sẽ bắt đầu tải xuống và thực thi payload giai đoạn tiếp theo”.

Check Point chỉ ra rằng “phản ứng nhanh chóng” này cho thấy sự tinh thông về kỹ thuật của nhóm và khả năng thích ứng và theo đuổi các phương pháp tấn công mới khi đối mặt với các biện pháp phòng thủ an ninh đang phát triển. Một bằng chứng rõ ràng về nguồn gốc của tác nhân đe dọa là kho lưu trữ GitHub, nơi đã tiết lộ rằng tác nhân đe dọa hoạt động ở múi giờ UTC-5, trùng với một số quốc gia Nam Mỹ. Chưa hết. Trong một lỗi có vẻ là do sơ suất trong quá trình hoạt động, một phân tích lịch sử commit của kho lưu trữ đã phát hiện ra một tệp chứa các cặp tài khoản-mật khẩu với 1.634 địa chỉ email duy nhất.

Mặc dù tệp HTML có tên “Ver Datos del Formulario.html” đã bị xóa khỏi kho lưu trữ vào ngày 25 tháng 2 năm 2025, nhưng nó đã được phát hiện chứa các chi tiết như tên người dùng, mật khẩu, email, mật khẩu email và mã PIN ATM liên quan đến các cá nhân, cơ quan chính phủ, tổ chức giáo dục và doanh nghiệp hoạt động ở Colombia. “Một yếu tố then chốt dẫn đến thành công của nó là khả năng khai thác các nền tảng chia sẻ tệp hợp pháp, bao gồm Google Drive, Dropbox, Bitbucket và GitHub, cho phép nó vượt qua các biện pháp bảo mật truyền thống và phân phối phần mềm độc hại một cách bí mật,” Check Point cho biết

“Ngoài ra, việc sử dụng các công cụ tội phạm ngầm như Remcos RAT, HeartCrypt và PureCrypter củng cố mối quan hệ sâu sắc của nó với hệ sinh thái tội phạm mạng, cho phép truy cập vào các kỹ thuật trốn tránh tinh vi và các phương pháp duy trì truy cập”