Blind Eagle vinculado al host ruso Proton66 en ataques en Latinoamérica

Trustwave SpiderLabs, un equipo líder en investigación de ciberseguridad, ha conectado con confianza al grupo de amenazas cibernéticas conocido como Blind Eagle (también llamado APT-C-36) con Proton66 , una empresa rusa que ofrece servicios de alojamiento a prueba de balas.

Blind Eagle es un actor de amenazas activo conocido por atacar a organizaciones en toda Latinoamérica, con especial atención a instituciones financieras en Colombia. Según se informa, este vínculo se debe al monitoreo continuo que SpiderLabs ha realizado durante varios meses a la infraestructura de Proton66.

Según la investigación de SpiderLabs, compartida con Hackread.com, sus analistas establecieron esta conexión examinando activos vinculados a Proton66, lo que los condujo a una red interconectada de dominios y direcciones IP. Esta infraestructura, que se volvió notablemente activa en el verano de 2024 (con registros de dominios específicos observados a partir del 12 de agosto de 2024), depende en gran medida de servicios gratuitos de DNS dinámico (DDNS).

Su método de ataque inicial utiliza exclusivamente archivos de Visual Basic Script (VBS). Estos scripts actúan como cargadores de troyanos de acceso remoto (RAT) comunes, que son software malicioso que permite a los atacantes controlar remotamente un equipo comprometido.

Análisis posteriores mostraron que algunas muestras de código VBS se superponían con muestras previamente identificadas generadas por un servicio llamado Vbs-Crypter, utilizado para ocultar y empaquetar cargas útiles VBS maliciosas.

A pesar del alto valor potencial de sus objetivos, los actores de amenazas detrás de Blind Eagle mostraron sorprendentemente poco esfuerzo por ocultar su infraestructura operativa. Los investigadores encontraron numerosos directorios abiertos que contenían archivos maliciosos idénticos y, en algunos casos, incluso páginas de phishing completas diseñadas para suplantar la identidad de bancos colombianos reconocidos como Bancolombia, BBVA, Banco Caja Social y Davivienda. Estos sitios web falsos fueron diseñados para robar datos de inicio de sesión de usuarios y otra información financiera confidencial.

Los sitios de phishing replicaban portales legítimos de inicio de sesión bancario mediante componentes web estándar. Además de estas páginas falsas, la infraestructura también albergaba scripts VBS que servían como primera etapa de la distribución del malware. Estos scripts incluían código diseñado para obtener privilegios administrativos en el ordenador de la víctima y luego descargar cargas útiles adicionales, generalmente RATs comunes como Remcos o AsyncRATs .

Una vez infectado un sistema, estos RAT establecen una conexión con un servidor C2, lo que permite a los atacantes administrar los hosts comprometidos, robar datos y ejecutar comandos adicionales. Trustwave incluso observó un panel de administración de botnets con una interfaz en portugués, que mostraba un panel de control de las máquinas infectadas, principalmente en Argentina.

Trustwave confirmó previamente que la infraestructura de Proton66 está siendo explotada para actividades maliciosas, incluidas campañas de operadores de ransomware SuperBlack y distribución de malware para Android.

Como informó Hackread.com, la infraestructura es un foco de ciberamenazas, incluyendo la distribución de malware para Android a través de sitios web de WordPress pirateados y ataques dirigidos que implementan malware específico como XWorm y Strela Stealer . Trustwave también detectó posibles conexiones con Chang Way Technologies, lo que indica el papel de Proton66 como facilitador clave de las operaciones cibercriminales.

La compañía advierte que las organizaciones en Latinoamérica, en particular las del sector financiero, deben reforzar su protección. Esto incluye reforzar los sistemas de filtrado de correo electrónico, capacitar al personal para reconocer los intentos de phishing localizados y monitorear proactivamente los indicadores de amenazas y la infraestructura específica de la región.