Blind Eagle utiliza Proton66 y VBS para ataques dirigidos en América Latina

Iniciado por Dragora, Julio 01, 2025, 03:06:38 PM

Tema anterior - Siguiente tema

0 Miembros y 15 Visitantes están viendo este tema.


El grupo de amenazas persistentes avanzadas (APT) Blind Eagle, también conocido como AguilaCiega, APT-C-36 y APT-Q-98, ha sido vinculado con el uso del servicio de alojamiento a prueba de balas Proton66 como parte de sus operaciones cibernéticas dirigidas contra objetivos en América Latina, especialmente instituciones financieras en Colombia y Ecuador.

Un reciente informe publicado por Trustwave SpiderLabs detalla cómo los investigadores lograron atribuir con alta confianza la infraestructura maliciosa de Proton66 a las campañas de Blind Eagle. El análisis técnico se centró en la actividad identificada desde agosto de 2024, donde se observó el uso de dominios y direcciones IP que apuntaban a un modelo de ataque bien estructurado basado en Visual Basic Script (VBS) y troyanos de acceso remoto (RATs).

Proton66: un servicio de bulletproof hosting para cibercriminales

Proton66 es un proveedor de servicios de alojamiento que opera bajo el modelo de bulletproof hosting (BPH), lo que significa que ignora activamente denuncias de abuso, violaciones legales y solicitudes de eliminación de contenido malicioso. Este tipo de infraestructura permite a los actores de amenazas hospedar scripts maliciosos, paneles de control C2, páginas de phishing y otros recursos sin interrupciones, lo que dificulta los esfuerzos de mitigación por parte de investigadores y autoridades.

Dominio, infraestructura y técnicas de evasión

Los investigadores de Trustwave descubrieron múltiples dominios con patrones similares, como gfast.duckdns[.]org y njfast.duckdns[.]org, que resolvían a la IP 45.135.232[.]38, asociada con Proton66. Este patrón sugiere una operación sostenida que utiliza servicios de DNS dinámicos como DuckDNS para rotar subdominios sin tener que registrar nuevos dominios, una táctica eficaz para evadir la detección por parte de soluciones de seguridad tradicionales.

Estos dominios fueron utilizados para alojar páginas de phishing bancario y scripts VBS maliciosos, que funcionan como la primera etapa de la cadena de ataque. Según el investigador Serhii Melnyk, los scripts VBS servían como cargadores (loaders) para la entrega de herramientas RAT de segunda etapa, como AsyncRAT y Remcos RAT, ambas utilizadas ampliamente en el ecosistema de malware por su disponibilidad en línea y bajo coste.

El rol del VBS en campañas de múltiples etapas

Aunque Visual Basic Script (VBS) pueda parecer un lenguaje obsoleto, sigue siendo una herramienta poderosa en manos de cibercriminales. Su compatibilidad con sistemas Windows, facilidad de ejecución en segundo plano y capacidad para eludir herramientas antivirus lo convierten en un vector eficaz de acceso inicial.

Los scripts identificados en esta campaña estaban diseñados para:

  • Descargar y ejecutar archivos ejecutables cifrados desde servidores remotos.
  • Actuar como cargadores para troyanos de acceso remoto.
  • Eludir mecanismos de detección y mezclarse con la actividad legítima del sistema operativo.

Este enfoque por etapas es característico de campañas APT bien organizadas, donde el acceso inicial mediante VBS da paso a fases más complejas de espionaje, robo de datos o control persistente del sistema comprometido.

Objetivos regionales: Colombia en el centro del ataque

Blind Eagle ha centrado históricamente sus ataques en objetivos sudamericanos, con especial énfasis en instituciones financieras colombianas. En esta campaña reciente, se han identificado páginas de phishing que suplantan a entidades como:

  • Bancolombia
  • BBVA Colombia
  • Banco Caja Social
  • Davivienda

Estas páginas están diseñadas para capturar credenciales de acceso, información de tarjetas y otros datos confidenciales de las víctimas, utilizando réplicas visuales altamente convincentes de los portales oficiales.

Herramientas de evasión: Crypters and Tools y Vbs-Crypter

El análisis del código malicioso también reveló el uso de Vbs-Crypter, una herramienta de ofuscación asociada a un servicio basado en suscripción llamado Crypters and Tools, utilizado por múltiples actores de amenazas para empaquetar y ocultar cargas útiles. Esta técnica incrementa la dificultad de detección por parte de motores antivirus y soluciones EDR.

Trustwave también identificó un panel de botnet activo operado por el grupo, el cual permite:

  • Control total de máquinas comprometidas.
  • Recolección y exfiltración de datos.
  • Comunicación bidireccional con endpoints infectados.

Estas funcionalidades están presentes en las suites de gestión de RAT comerciales, lo que demuestra el grado de profesionalización del grupo.

Explotación de vulnerabilidades: caso CVE-2024-43451

Además de las tácticas descritas, Darktrace reveló una campaña paralela de Blind Eagle desde noviembre de 2024 en la que se explotó una vulnerabilidad crítica de Windows, CVE-2024-43451, ya parcheada. Esta vulnerabilidad fue utilizada para ejecutar cargas útiles de segunda etapa directamente desde sitios comprometidos.

Este comportamiento, documentado previamente por Check Point en marzo de 2025, refleja la capacidad del grupo para adaptarse rápidamente y mantener operativas sus tácticas, técnicas y procedimientos (TTP) incluso después de que los parches hayan sido lanzados públicamente.

Una amenaza persistente con infraestructura resiliente

El caso de Blind Eagle evidencia cómo los grupos de amenazas avanzadas aprovechan infraestructura resistente como Proton66, lenguajes heredados como VBS y servicios dinámicos como DuckDNS para ejecutar ataques altamente dirigidos y efectivos. Su foco en el sector financiero y su adaptación a nuevas vulnerabilidades hacen de este grupo una amenaza relevante para la seguridad cibernética en América Latina.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta