L’acteur de menace connue sous le nom Aigle aveugle est lié à une série de campagnes en cours ciblant les institutions colombiennes et les entités gouvernementales depuis novembre 2024.
“Les campagnes surveillées ont ciblé les institutions judiciaires colombiennes et d’autres organisations gouvernementales ou privées, avec des taux d’infection élevés”, dit dans une nouvelle analyse.
“Plus de 1 600 victimes ont été touchées au cours de l’une de ces campagnes qui ont eu lieu vers le 19 décembre 2024. Ce taux d’infection est important compte tenu de l’approche APT ciblée d’Eagle.”
Blind Eagle, actif depuis au moins 2018, est également suivi comme Aguilaciega, APT-C-36 et APT-Q-98. Il est connu pour son ciblage hyper spécifique aux entités en Amérique du Sud, en particulier la Colombie et l’Équateur.
Les chaînes d’attaque orchestrées par l’acteur de menace impliquent l’utilisation de tactiques d’ingénierie sociale, souvent sous la forme d’e-mails de lance-plipage, pour obtenir l’accès initial aux systèmes cibles et, finalement, supprimer des chevaux de Troie à distance facilement disponibles comme Asyncrat, Njrat, Quasar Rat et Remcos Rat.
Le dernier ensemble d’intrusions est remarquable pour trois raisons: l’utilisation d’une variante d’un exploit pour une faille Microsoft Windows maintenant fournie (CVE-2024-43451), l’adoption d’un packer naissant en tant que service (PaaS) appelé HeartCrypt, et la distribution de charges utiles via Bitbucket et Githubub, allant au-delà de Google Drive et Dropbox.
Plus précisément, HeartCrypt est utilisé pour protéger l’exécutable malveillant, une variante de Purecrypter qui est alors responsable du lancement du logiciel malveillant Remcos Rat hébergé sur un bitbucket ou un référentiel Github maintenant réalisé.
Le CVE-2024-43451 fait référence à une vulnérabilité de divulgation de hachage NTLMV2 qui a été fixée par Microsoft en novembre 2024. Aigle aveugle, par point de contrôle, a incorporé une variante de cet exploit dans son arsenal d’attaque un peu de six jours après la publication du patch, ce qui a fait avancer la victime de la victime de PHishish.
“Bien que cette variante n’expose pas réellement le hachage NTLMV2, il informe les acteurs de la menace que le fichier a été téléchargé par les mêmes interactions inhabituelles-fichiers”, a déclaré la société de cybersécurité.
“Sur les appareils vulnérables au CVE-2024-43451, une demande WebDAV est déclenchée avant même que l’utilisateur n’interagit manuellement avec le fichier avec le même comportement inhabituel. En attendant, sur les systèmes correcés et non corrigées, en cliquant manuellement le fichier .url malveillant déclenche le téléchargement et l’exécution de la charge salariale suivante.”
Le point de contrôle a souligné que la «réponse rapide» sert à mettre en évidence l’expertise technique du groupe et sa capacité à s’adapter et à poursuivre de nouvelles méthodes d’attaque face à l’évolution des défenses de sécurité.
Le référentiel Github, qui a révélé que l’acteur de menace opère dans le fuseau horaire UTC-5, a révélé que l’acteur de menace opère dans le fuseau horaire de l’UTC-5, s’alignant avec plusieurs pays d’Amérique du Sud.
Ce n’est pas tout. Dans ce qui semble être une erreur opérationnelle, une analyse de l’historique des engagements du référentiel a découvert un fichier contenant des paires de mots de passe de compte avec 1 634 adresses e-mail uniques.
Bien que le fichier HTML, nommé “Ver Datos del Forlamurio.html”, ait été supprimé du référentiel le 25 février 2025, il a été constaté qu’il contenait des détails tels que les noms d’utilisateur, les mots de passe, les e-mails, les mots de passe par e-mail et les axes ATM associés aux particuliers, aux agences gouvernementales, aux établissements d’enseignement et aux entreprises opérant dans des colombies.
“Un facteur clé dans son succès est sa capacité à exploiter les plates-formes de partage de fichiers légitimes, y compris Google Drive, Dropbox, Bitbucket et GitHub, lui permettant de contourner les mesures de sécurité traditionnelles et de distribuer des logiciels malveillants furtivement”, a déclaré Check Point.
“De plus, son utilisation d’outils CrimeWare souterrains tels que Remcos Rat, HeartCrypt et Purecrypter renforce ses liens profonds avec l’écosystème cybercriminal, accordant l’accès à des techniques d’évasion sophistiquées et à des méthodes d’accès persistantes.”




