Blind Eagle: Sürekli Tehditin Analizi
Blind Eagle, 2024 ile 2025 yılları arasında keşfedilen, bir siber tehdit aktörüdür. Bu grup, özellikle Kolombiya hükümeti ve onun çeşitli kademeleri üzerinde etkili olmuştur. Recorded Future Insikt Group’un yaptığı analizler, bu grubun davranış kalıplarını beş farklı aktiviteler kümesi içinde yoğunlaştığını göstermektedir. Her ne kadar bu grupta kullanılan taktikler benzerlikler gösterse de, altyapı ve kötü amaçlı yazılım dağıtımında önemli farklılıklar bulunmaktadır.
Hedefler ve Motivasyonlar
Blind Eagle’ın saldırıları, kurumsal casusluk ile mali motivasyonlar arasında gidip gelmektedir. Finans sektörü, eğitim, sağlık ve petrol gibi çeşitli alanlarda faaliyet gösteren kuruluşlar, grubun hedefleri arasında yer almaktadır. Özellikle, Kolombiya, Ekvador, Şili ve Panama gibi ülkelerde etkili olmuştur. Analizler, grubun siber saldırılarının %60’ının kamu sektörü üzerinde yoğunlaştığını ortaya koymuştur.
Saldırı Yöntemleri ve Taktikler
Blind Eagle, spear-phishing yöntemleri kullanarak saldırılarını gerçekleştirmektedir. Yerel hükümet kurumlarını taklit eden sahte e-postalarla kurbanları zararlı belgeleri açmaya ya da kötü amaçlı bağlantılara tıklamaya teşvik eder. Kullanılan URL kısaltıcılarıyla, alıcıları kötü amaçlı içeriğe yönlendirmektedirler. Saldırı zincirleri genellikle, proton, FrootVPN gibi sanal özel sunucuların yanı sıra Kolombiyalı internet servis sağlayıcılarının IP adreslerini içermektedir.
Altyapı ve Bilgi Gizleme Yöntemleri
Grup, dinamik DNS hizmetleri ve çeşitli meşru internet servisleri kullanarak kötü amaçlı yazılımlarını gizlemeye çalışmaktadır. Bu yöntemler arasında Bitbucket, Dropbox, GitHub ve diğer platformlar bulunmaktadır. Örneğin, 2025 yılı boyunca gerçekleştirilen saldırılar, PowerShell betikleri ve çeşitli uzaktan erişim trojanları (RAT) kullanarak yapılandırılmıştır. Lime RAT, DCRat ve AsyncRAT gibi değişik RAT türleri, bu süreçte önemli bir rol oynamaktadır.
Aktivite Kümeleri ve Zaman Çizelgesi
Recorded Future araştırmaları, Blind Eagle’ın beş ana aktivite kümesi içerisinde hareket ettiğini ortaya çıkarmıştır:
- Küme 1: Şubat 2025 ile Temmuz 2025 arası, sadece Kolombiya hükümeti hedef alınmış, DCRat ve AsyncRAT kullanılmıştır.
- Küme 2: Eylül 2024 ile Aralık 2024 arasında, eğitim, savunma ve perakende sektörleri yanında Kolombiya hükümeti hedeflenmiştir.
- Küme 3: Eylül 2024’ten Temmuz 2025’e kadar, AsyncRAT ve Remcos RAT kullanılmasıyla belirginleşmiştir.
- Küme 4: Mayıs 2024 ile Şubat 2025 arasında, TAG-144’a atfedilen kötü amaçlı yazılımlar ve phishing altyapısıyla ilişkilendirilmiştir.
- Küme 5: Mart 2025 ile Temmuz 2025 arasında, Lime RAT ve kırılmış AsyncRAT versiyonları kullanılmıştır.
Yeni Tehditler ve Geçmiş Bağlantılar
Blind Eagle’nın kullandığı kırılmış AsyncRAT versiyonu, daha önce Red Akodon ve Shadow Vector gibi tehdit aktörleri tarafından da kullanılmıştır. Bu durum, grubun sürekli olarak aynı yöntemleri kullanarak yüksek başarı oranı elde ettiğini göstermektedir. Önemli olan, grubun etkinliğinin yalnızca Kolombiya ile sınırlı kalmaması; Ekvador ve İspanyolca konuşan Kuzey Amerika kullanıcıları da hedeflenmektedir.
Sonuç
Blind Eagle’ın sürekli hedef alması, grubun gerçek motivasyonları hakkında sorgulamaları da beraberinde getirmektedir. Tamamen mali amaçlar güden bir siber tehdit aktörü mü yoksa devlet destekli casusluğu da içeren daha karmaşık bir stratejiye sahip mi olduğu merak edilmektedir. Cybersecurity uzmanlarının bu tür grupları dikkatle izlemesi, gelecekte benzer saldırıların önlenmesi açısından kritik önem taşımaktadır.
