{"id":1617084,"date":"2025-03-11T18:31:25","date_gmt":"2025-03-11T18:31:25","guid":{"rendered":"https:\/\/teknomers.com\/es\/blind-eagle-hackea-las-instituciones-colombianas-que-utilizan-fallas-ntlm-ratas-y-ataques-basados-en-github\/"},"modified":"2025-03-11T18:31:31","modified_gmt":"2025-03-11T18:31:31","slug":"blind-eagle-hackea-las-instituciones-colombianas-que-utilizan-fallas-ntlm-ratas-y-ataques-basados-en-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/blind-eagle-hackea-las-instituciones-colombianas-que-utilizan-fallas-ntlm-ratas-y-ataques-basados-en-github\/","title":{"rendered":"Blind Eagle hackea las instituciones colombianas que utilizan fallas NTLM, ratas y ataques basados \u200b\u200ben Github"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Blind-Eagle-hackea-las-instituciones-colombianas-que-utilizan-fallas-NTLM.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El actor de amenaza conocido como <strong>\u00c1guila ciega<\/strong> se ha vinculado a una serie de campa\u00f1as en curso dirigidas a instituciones colombianas y entidades gubernamentales desde noviembre de 2024.<\/p>\n<p>&#8220;Las campa\u00f1as monitoreadas dirigieron a las instituciones judiciales colombianas y otras organizaciones gubernamentales o privadas, con altas tasas de infecci\u00f3n&#8221;, Check Point <a rel=\"noopener nofollow\" href=\"https:\/\/research.checkpoint.com\/2025\/blind-eagle-and-justice-for-all\/\" target=\"_blank\">dicho<\/a> En un nuevo an\u00e1lisis.<\/p>\n<p>&#8220;M\u00e1s de 1.600 v\u00edctimas fueron afectadas durante una de estas campa\u00f1as que tuvo lugar alrededor del 19 de diciembre de 2024. Esta tasa de infecci\u00f3n es significativa teniendo en cuenta el enfoque APT dirigido de Blind Eagle&#8221;.<\/p>\n<p>Blind Eagle, activo desde al menos 2018, tambi\u00e9n se rastrea como Aguilaciega, APT-C-36 y APT-Q-98. Es conocido por su orientaci\u00f3n hiperpec\u00edfica de entidades en Am\u00e9rica del Sur, espec\u00edficamente Colombia y Ecuador.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los cadenas de ataque orquestadas por el actor de amenaza implican el uso de t\u00e1cticas de ingenier\u00eda social, a menudo en forma de correos electr\u00f3nicos de phishing de lanza, para obtener acceso inicial a los sistemas de destino y, en \u00faltima instancia, eliminan los troyanos de acceso remoto f\u00e1cilmente disponibles como Asyncrat, Njrat, Quasar Rat y Remcos Rat.<\/p>\n<p>El \u00faltimo conjunto de intrusiones es notable por tres razones: el uso de una variante de un exploit para una falla de Microsoft Windows ahora parada (CVE-2024-43451), la adopci\u00f3n de un Packer-As-A-Service (PAAS) llamado Packer-As-Service (PAAS) llamado HeartCrypt, y la distribuci\u00f3n de la carga \u00fatil a trav\u00e9s de BitBucket y Github, Valing Beyond Drive y Dropbox.<\/p>\n<p>Espec\u00edficamente, HeartCrypt se usa para proteger el ejecutable malicioso, una variante de PurecryPter que entonces es responsable de lanzar el malware REMCOS RAT alojado en un repositorio de Bitbucket o GitHub ahora recuperado.<\/p>\n<p>CVE-2024-43451 se refiere a una vulnerabilidad de divulgaci\u00f3n de hash NTLMV2 que Microsoft fij\u00f3 Microsoft en noviembre de 2024. El \u00e1guila ciega, por punto de control, incorpor\u00f3 una variante de esta explotaci\u00f3n en su arsenal de ataque solo seis d\u00edas despu\u00e9s de la liberaci\u00f3n del parche, lo que hace que las v\u00edctimas sean v\u00edctimas a avanzar en la infecci\u00f3n de una infecci\u00f3n maliciosa.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741717884_121_Blind-Eagle-hackea-las-instituciones-colombianas-que-utilizan-fallas-NTLM.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741717884_121_Blind-Eagle-hackea-las-instituciones-colombianas-que-utilizan-fallas-NTLM.png\" alt=\"\u00c1guila ciega\" border=\"0\" data-original-height=\"484\" data-original-width=\"1496\" title=\"\u00c1guila ciega\"\/><\/a><\/div>\n<p>&#8220;Si bien esta variante en realidad no expone el hash NTLMV2, notifica a los actores de amenaza de que el archivo fue descargado por las mismas interacciones inusuales de archivo de usuario&#8221;, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica.<\/p>\n<p>&#8220;En los dispositivos vulnerables a CVE-2024-43451, una solicitud de WebDAV se activa incluso antes de que el usuario interact\u00fae manualmente con el archivo con el mismo comportamiento inusual. Mientras tanto, en los sistemas parchados y sin parches, haciendo clic manualmente en el archivo malicioso .URL inicia la descarga y la ejecuci\u00f3n de la carga \u00fatil de la pr\u00f3xima etapa&#8221;.<\/p>\n<p>Check Point se\u00f1al\u00f3 que la &#8220;respuesta r\u00e1pida&#8221; sirve para resaltar la experiencia t\u00e9cnica del grupo y su capacidad para adaptarse y buscar nuevos m\u00e9todos de ataque frente a las defensas de seguridad en evoluci\u00f3n.<\/p>\n<p>Sirviendo como una pistola de fumar para los or\u00edgenes del actor de amenaza es el repositorio de GitHub, que ha revelado que el actor de amenaza opera en la zona horaria de UTC-5, aline\u00e1ndose con varios pa\u00edses sudamericanos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Eso no es todo. En lo que parece ser un error operativo, un an\u00e1lisis del historial de confirmaci\u00f3n del repositorio ha descubierto un archivo que contiene pares de palabras de cuenta con 1,634 direcciones de correo electr\u00f3nico \u00fanicas.<\/p>\n<p>Mientras que el archivo HTML, llamado &#8220;Ver Datos del Formulario.html&#8221;, se elimin\u00f3 del repositorio el 25 de febrero de 2025, se ha encontrado que contiene detalles como nombres de usuario, contrase\u00f1as, correo electr\u00f3nico, contrase\u00f1as de correo electr\u00f3nico y pasadores de cajeros autom\u00e1ticos asociados con individuos, agencias gubernamentales, instituciones educativas y empresas que operan en Colombia.<\/p>\n<p>&#8220;Un factor clave en su \u00e9xito es su capacidad para explotar plataformas leg\u00edtimas de intercambio de archivos, incluidos Google Drive, Dropbox, Bitbucket y GitHub, lo que le permite evitar las medidas de seguridad tradicionales y distribuir malware sigilosamente&#8221;, dijo Check Point.<\/p>\n<p>&#8220;Adem\u00e1s, su uso de herramientas subterr\u00e1neas de Crimeware, como RemCos Rat, HeartCrypt y Pureecrypter, refuerza sus v\u00ednculos profundos con el ecosistema cibercriminal, otorgando acceso a t\u00e9cnicas de evasi\u00f3n sofisticadas y m\u00e9todos de acceso persistente&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/blind-eagle-hacks-colombian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenaza conocido como \u00c1guila ciega se ha vinculado a una serie de campa\u00f1as en curso<\/p>\n","protected":false},"author":1,"featured_media":1617085,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,29539,4326,36417,4664,16328,3233,50201,69480,12377,246,273784,273783,4654,273782,4659,4653,4655,80890,17670,246983,4665,246984,10365,455,239484],"class_list":["post-1617084","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-basados","tag-blind","tag-colombianas","tag-como-hackear","tag-eagle","tag-fallas","tag-github","tag-hackea","tag-instituciones","tag-las","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ntlm","tag-ratas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-utilizan","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1617084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1617084"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1617084\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1617085"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1617084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1617084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1617084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}