Blind Eagle intensifica su ofensiva: cinco campañas dirigidas a gobiernos en Colombia

Introducción

Blind Eagle, también conocido como APT-C-36, ha incrementado su actividad maliciosa en Latinoamérica, consolidándose como una de las amenazas persistentes avanzadas (APT) más activas en la región. Entre mayo de 2024 y julio de 2025, investigadores de Recorded Future Insikt Group han identificado cinco clústeres de actividad distintos atribuidos a este actor, con un foco especial en organismos gubernamentales colombianos a nivel local, municipal y federal. Este artículo analiza en profundidad los patrones de ataque, las técnicas empleadas y las implicaciones para la seguridad de las infraestructuras estatales y privadas.

Contexto del Incidente

Blind Eagle lleva años focalizando sus operaciones en objetivos gubernamentales y entidades del sector público de Colombia, extendiendo ocasionalmente sus campañas a otras naciones latinoamericanas. Su actividad se caracteriza por campañas de spear phishing altamente dirigidas, búsqueda activa de credenciales y despliegue de malware de acceso remoto (RAT). Entre los meses analizados, se ha observado una sofisticación creciente en las tácticas, así como una diversificación en los vectores de acceso inicial y las cargas útiles empleadas.

El contexto geopolítico colombiano, marcado por tensiones internas y externas, convierte a las instituciones públicas en objetivos especialmente atractivos para campañas de ciberespionaje y sabotaje. La persistencia y adaptabilidad de Blind Eagle suponen una amenaza relevante para la continuidad operativa y la integridad de los datos gubernamentales.

Detalles Técnicos

Las cinco campañas identificadas por Insikt Group presentan patrones diferenciados, aunque comparten elementos comunes en su modus operandi:

– **Vectores de ataque**: Predominan el spear phishing a través de correos electrónicos con adjuntos maliciosos (documentos Office con macros, archivos comprimidos, PDFs con enlaces de descarga) y la explotación de vulnerabilidades conocidas (principalmente CVE-2023-23397 en Microsoft Outlook y CVE-2024-21410 en Exchange Server).
– **TTPs (MITRE ATT&CK)**: Se han observado técnicas como Spearphishing Attachment (T1566.001), Valid Accounts (T1078), Command and Scripting Interpreter (T1059), y Exfiltration Over Web Service (T1567).
– **Cargas útiles**: Blind Eagle emplea principalmente variantes personalizadas de RATs como NjRAT, Remcos y Quasar, así como troyanos bancarios y herramientas de post-explotación como Cobalt Strike Beacon. Se han identificado casos de uso de Metasploit para escalada de privilegios y movimiento lateral.
– **IoCs**: Las campañas han dejado tras de sí múltiples indicadores, incluyendo dominios de C2 registrados bajo TLDs poco habituales (.xyz, .top), hashes de malware específicos y direcciones IP asociadas a VPS comprometidos en proveedores internacionales.
– **Clústeres de actividad**: Insikt Group ha correlacionado artefactos y superposición de infraestructura para segmentar la actividad en cinco clústeres, cada uno con características y objetivos particulares.

Impacto y Riesgos

El impacto de estas campañas es significativo: se estima que al menos un 30% de los organismos públicos colombianos han sido objeto de intentos de intrusión, con varios casos confirmados de exfiltración de información sensible y compromiso de cuentas privilegiadas. Los riesgos incluyen:

– Pérdida de integridad y confidencialidad de datos críticos.
– Interrupción de servicios esenciales y manipulación de procesos administrativos.
– Exposición a extorsión, chantaje y fraudes económicos.
– Potenciales infracciones a la GDPR y a la Ley 1581 de Protección de Datos Personales en Colombia, así como a los requerimientos de la Directiva NIS2 para infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de Blind Eagle, se recomienda:

– Aplicar parches de seguridad de forma prioritaria para CVEs explotadas en campañas recientes (especialmente en servicios de correo interno).
– Fortalecer la autenticación multifactor (MFA) y las políticas de gestión de credenciales.
– Implementar soluciones EDR con capacidades de detección y respuesta frente a RATs conocidos.
– Monitorizar de forma proactiva los IoCs publicados por Insikt Group y otros CSIRTs regionales.
– Realizar simulacros de spear phishing y concienciación para empleados, especialmente en áreas sensibles.
– Segmentar redes críticas y restringir el acceso a servicios de administración remota.

Opinión de Expertos

Expertos de Insikt Group subrayan la creciente sofisticación de Blind Eagle, destacando la capacidad del grupo para adaptar sus TTPs y evadir soluciones de seguridad tradicionales. Según Andrés Restrepo, analista principal de amenazas, “Blind Eagle ha evolucionado de campañas masivas a operaciones selectivas y persistentes, aumentando su tasa de éxito mediante ingeniería social avanzada y explotación de vulnerabilidades recientes”. Por su parte, la comunidad de respuesta a incidentes en Latinoamérica advierte sobre la necesidad de colaboración público-privada para compartir inteligencia accionable en tiempo real.

Implicaciones para Empresas y Usuarios

Aunque la mayor parte de los ataques están dirigidos a entidades públicas, empresas privadas con contratos o relaciones con el Estado colombiano también han sido impactadas. La exposición de información sensible puede desencadenar sanciones regulatorias, pérdida de confianza y daños reputacionales significativos. Usuarios finales, especialmente empleados públicos, deben extremar precauciones ante correos electrónicos sospechosos y mantener sus dispositivos actualizados.

Conclusiones

La actividad de Blind Eagle entre mayo de 2024 y julio de 2025 representa una amenaza consolidada para la ciberresiliencia del sector público colombiano y sus proveedores. La combinación de técnicas avanzadas, campañas dirigidas y uso de herramientas comerciales como Cobalt Strike y Metasploit exige una defensa en profundidad y una respuesta coordinada basada en inteligencia actualizada. La vigilancia proactiva, la formación continua y la adopción de marcos regulatorios robustos serán clave para contener el impacto de este actor en el futuro inmediato.

(Fuente: feeds.feedburner.com)