Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una serie de campañas cibernéticas dirigidas y en curso por Blind Eagle (APT-C-36), uno de los actores de amenazas más peligrosos de Latinoamérica.

Las tácticas de ciberespionaje de Blind Eagle están evolucionando rápidamente.
Los cibercriminales se mueven con rapidez, Blind Eagle (APT-C-36) está demostrando su velocidad. El conocido grupo de amenazas persistentes avanzadas (APT), conocido por atacar al sistema judicial colombiano, instituciones gubernamentales y organizaciones privadas, ha lanzado una nueva campaña que demuestra cómo los atacantes pueden usar parches de seguridad como arma contra sus objetivos.

Tan solo seis días después de que Microsoft parcheara la vulnerabilidad CVE-2024-43451, Blind Eagle incorporó un método similar a su arsenal de ataques: archivos .url maliciosos para rastrear a las víctimas y ejecutar malware. Esta técnica les permite identificar objetivos potenciales sin la interacción de la víctima, lo que hace que su enfoque sea más sigiloso que las campañas de phishing tradicionales.
CPR descubrió más de 1600 infecciones en una sola campaña, una cifra asombrosa considerando la naturaleza específica de los ataques APT. Lo que resulta particularmente alarmante es la capacidad del grupo para eludir las medidas de seguridad mediante el uso de plataformas legítimas en la nube como Google Drive, Dropbox, GitHub y Bitbucket para distribuir su malware. Esta campaña subraya la creciente sofisticación de las ciberamenazas y la necesidad de defensas proactivas para contrarrestarlas.
Plataformas en la nube de confianza: El nuevo mecanismo de distribución de malware
Blind Eagle ha utilizado anteriormente servicios legítimos basados en la nube y continúa haciéndolo, lo que dificulta que las herramientas de seguridad detecten y señalen su actividad maliciosa en comparación con los dominios sospechosos.

CPR identificó a Blind Eagle utilizando:
• Google Drive
• Dropbox
• GitHub
• Bitbucket

Al camuflar el malware como archivos aparentemente inofensivos alojados en servicios de confianza, Blind Eagle puede evadir los filtros de seguridad tradicionales. Cuando una víctima interactúa con el archivo malicioso, el malware descarga y ejecuta un troyano de acceso remoto (RAT), lo que otorga a los atacantes control total sobre el sistema comprometido. Este método también permite a Blind Eagle actualizar rápidamente sus cargas útiles de malware sin necesidad de reconfigurar su infraestructura de ataque. Si una cuenta de hosting se cae, simplemente pueden subir su malware a una nueva cuenta de almacenamiento en la nube y continuar con sus operaciones.
¿Qué sucede después de la infección? La cadena de ataque completa
Una vez ejecutado, el malware implementado por Blind Eagle está diseñado para el sigilo, la persistencia y la exfiltración de datos. La carga útil final utilizada en esta campaña es Remcos RAT, un troyano de acceso remoto ampliamente utilizado que otorga a los atacantes control total sobre un equipo infectado.
Tras la infección, el malware puede:
• Capturar credenciales de usuario registrando pulsaciones de teclas y robando contraseñas almacenadas.
• Modificar y eliminar archivos, lo que permite a los atacantes sabotear sistemas o cifrar datos para pedir un rescate.
• Establecer persistencia mediante la creación de tareas programadas y modificaciones del registro, lo que garantiza que sobreviva a los reinicios.
• Exfiltrar información confidencial y enviarla de vuelta a los servidores de comando y control (C2) operados por Blind Eagle.
CPR descubrió que una sola campaña causó más de 9000 víctimas en tan solo una semana, lo que indica que estas tácticas están demostrando ser altamente efectivas.
La rápida adaptación de Blind Eagle: ¿Una nueva tendencia en ciberataques?
La velocidad con la que Blind Eagle utilizó una vulnerabilidad recién parcheada como arma plantea una preocupación crucial: ¿Se están adaptando los ciberdelincuentes más rápido que los defensores?
Este caso destaca una tendencia preocupante en la ciberguerra moderna: los actores de amenazas ya no esperan a que se revelen las vulnerabilidades de día cero. En cambio, monitorean de cerca los parches de seguridad, los analizan y encuentran maneras de imitar o reutilizar el comportamiento del exploit antes de que las organizaciones hayan implementado completamente las defensas.
La capacidad de Blind Eagle para integrar rápidamente un exploit parcheado en sus campañas sugiere que los ciberdelincuentes se están volviendo más ágiles, innovadores y preparados. Los equipos de seguridad deben responder acelerando sus estrategias de gestión de parches e implementando soluciones de prevención de amenazas basadas en IA para detectar amenazas emergentes antes de que se afiancen.