“Águila ciega” ataca a Colombia: cómo una carta de Hacienda puede llevar a un compromiso total

El sector asegurador colombiano se ha convertido en el objetivo del grupo de hackers BlindEagle, que desde junio de 2024 ha estado distribuyendo activamente una versión modificada del conocido malware Quasar RAT. Investigadores de la compañía Zscaler informaron en su informe que los ataques comienzan con correos electrónicos de phishing, que se disfrazan como mensajes oficiales de la autoridad tributaria de Colombia.

BlindEagle, también conocido como AguilaCiega y APT-C-36, ha estado atacando organizaciones e individuos en América del Sur durante varios años. Se dirigen principalmente a instituciones gubernamentales y financieras en Colombia y Ecuador, aunque el mes pasado informamos cómo el grupo atacó a organizaciones brasileñas.

La herramienta principal para distribuir el malware son los correos electrónicos de phishing que contienen enlaces a archivos maliciosos. Estos correos electrónicos incluyen archivos PDF adjuntos o enlaces en el texto que dirigen a la descarga de archivos ZIP alojados en Google Drive. Cabe destacar que los archivos se cargan desde cuentas comprometidas que anteriormente pertenecían a organizaciones gubernamentales de Colombia.

El ataque se basa en crear un sentido de urgencia en la víctima. Los atacantes envían notificaciones, supuestamente de parte de la autoridad tributaria, sobre la necesidad de realizar un pago urgente de impuestos adeudados. Esto obliga a los destinatarios a abrir los enlaces maliciosos, lo que da inicio al proceso de infección.

Dentro del archivo ZIP se oculta una versión modificada de Quasar RAT, conocida como BlotchyQuasar. El malware está protegido adicionalmente con herramientas de ofuscación, lo que dificulta su análisis y detección. Métodos similares fueron descritos en detalle en la investigación de IBM, realizada en julio de 2023.

BlotchyQuasar es capaz de interceptar pulsaciones de teclas, ejecutar comandos a través de la shell, robar datos de navegadores y clientes FTP, así como rastrear las actividades de la víctima en servicios bancarios y de pago en Colombia y Ecuador. Además, el malware utiliza el servicio Pastebin para obtener información sobre el servidor de comando, así como servicios de DNS dinámicos para alojar dominios de control.

Para ocultar su infraestructura, BlindEagle utiliza servicios VPN y routers comprometidos, principalmente ubicados en Colombia. Los expertos señalan que este grupo continúa empleando estrategias similares para enmascarar sus ataques.

BlindEagle sigue demostrando que incluso herramientas conocidas, como Quasar RAT, pueden convertirse en armas peligrosas en manos de atacantes experimentados si se modifican y utilizan en ataques dirigidos. Los métodos sofisticados de ocultación de infraestructura y la hábil suplantación de instituciones oficiales destacan la importancia de una ciberseguridad reforzada, especialmente para organizaciones financieras y gubernamentales, que siguen siendo los objetivos prioritarios de grupos como este.