Хакерская группа Blind Eagle, также известная как TAG-144, провела серию целенаправленных кибератак, в основном против государственных структур Колумбии. Исследователи из Recorded Future Insikt Group, подразделения компании Mastercard, зафиксировали в период с мая 2024 по июль 2025 года пять различных, но взаимосвязанных кластеров этой активности. Группировка, действующая как минимум с 2018 года, последовательно применяет проверенные методы, которые доказывают свою высокую эффективность в регионе.
Основными целями атак стали колумбийские государственные учреждения на местном, муниципальном и федеральном уровнях, включая судебные и налоговые органы. Однако география кампании не ограничилась Колумбией: атаки также были направлены на цели в Эквадоре, Чили, Панаме и на испаноязычных пользователей в Северной Америке, в частности в США. Помимо госсектора, в сферу интересов Blind Eagle вошли финансовые, нефтяные, энергетические, образовательные, медицинские, производственные, оборонные и торговые организации, а также компании, предоставляющие профессиональные услуги.
Для первоначального проникновения в системы злоумышленники использовали фишинговые рассылки. Они выдавали себя за местные государственные органы и отправляли письма с скомпрометированных адресов электронной почты, убеждая жертв открывать вредоносные документы или переходить по ссылкам. Для маскировки ссылок применялись сервисы сокращения URL, такие как
Арсенал группировки включает в себя как общедоступные, так и взломанные трояны удаленного доступа (RAT). В атаках были задействованы вредоносные программы Lime RAT, DCRat, Remcos RAT и XWorm. Также использовалась специфическая взломанная версия AsyncRAT, которая ранее применялась связанными группами Red Akodon и Shadow Vector.
Инфраструктура Blind Eagle построена с учетом мер по уклонению от обнаружения. Применяется геолокационная фильтрация (геофенсинг): если доступ к командным серверам осуществляется из-за пределов Колумбии или Эквадора, пользователь перенаправляется на официальные правительственные сайты. Командные серверы (C2) размещаются на IP-адресах колумбийских интернет-провайдеров, используются виртуальные частные серверы (VPS) от провайдера Proton666 и VPN-сервисы, включая Powerhouse Management, FrootVPN и TorGuard.
Для обеспечения устойчивости своей C2-инфраструктуры группа активно использует сервисы динамического DNS (DDNS), такие как
Типичная цепочка атаки выглядит следующим образом: жертва получает электронное письмо с вложением в формате SVG. При открытии SVG-файла происходит обращение к сети доставки контента Discord для загрузки скрипта на JavaScript. Этот скрипт, в свою очередь, скачивает с сервиса PowerShell-скрипт. Первый PowerShell-скрипт декодирует и запускает вторую PowerShell-нагрузку, которая извлекает с сайта Internet Archive изображение в формате JPG. Финальным шагом является извлечение из этого изображения встроенной.NET-сборки и её выполнение в системе.
Исследователи разделили активность группы на пять кластеров. Первый кластер (февраль 2025 – июль 2025) был нацелен исключительно на правительство Колумбии с использованием DCRat, AsyncRAT и Remcos RAT. Второй (сентябрь 2024 – декабрь 2024) атаковал правительственные, образовательные, оборонные и торговые организации Колумбии при помощи AsyncRAT и XWorm. Третий кластер (сентябрь 2024 – июль 2025) характеризовался применением AsyncRAT и Remcos RAT.
Четвертый кластер (май 2024 – февраль 2025) был связан с фишинговой инфраструктурой, имитирующей сайты банков Banco Davivienda, Bancolombia и BBVA. Пятый кластер (март 2025 – июль 2025) ассоциировался с использованием Lime RAT и той же взломанной версии AsyncRAT, что и в первых двух кластерах.
Несмотря на детальный анализ, истинная мотивация Blind Eagle остается неясной. С одной стороны, наличие в кампаниях кейлоггеров и функций мониторинга браузеров, нацеленных на банковские данные, указывает на финансовый интерес. С другой стороны, постоянная и сфокусированная нацеленность на колумбийские правительственные учреждения может свидетельствовать о выполнении задач государственного шпионажа. Вопрос о том, является ли группа чисто финансово мотивированной или действует при поддержке государства, остается открытым.
Изображение носит иллюстративный характер
Основными целями атак стали колумбийские государственные учреждения на местном, муниципальном и федеральном уровнях, включая судебные и налоговые органы. Однако география кампании не ограничилась Колумбией: атаки также были направлены на цели в Эквадоре, Чили, Панаме и на испаноязычных пользователей в Северной Америке, в частности в США. Помимо госсектора, в сферу интересов Blind Eagle вошли финансовые, нефтяные, энергетические, образовательные, медицинские, производственные, оборонные и торговые организации, а также компании, предоставляющие профессиональные услуги.
Для первоначального проникновения в системы злоумышленники использовали фишинговые рассылки. Они выдавали себя за местные государственные органы и отправляли письма с скомпрометированных адресов электронной почты, убеждая жертв открывать вредоносные документы или переходить по ссылкам. Для маскировки ссылок применялись сервисы сокращения URL, такие как
cort[.]as, acortaurl[.]com и gtly[.]to. Арсенал группировки включает в себя как общедоступные, так и взломанные трояны удаленного доступа (RAT). В атаках были задействованы вредоносные программы Lime RAT, DCRat, Remcos RAT и XWorm. Также использовалась специфическая взломанная версия AsyncRAT, которая ранее применялась связанными группами Red Akodon и Shadow Vector.
Инфраструктура Blind Eagle построена с учетом мер по уклонению от обнаружения. Применяется геолокационная фильтрация (геофенсинг): если доступ к командным серверам осуществляется из-за пределов Колумбии или Эквадора, пользователь перенаправляется на официальные правительственные сайты. Командные серверы (C2) размещаются на IP-адресах колумбийских интернет-провайдеров, используются виртуальные частные серверы (VPS) от провайдера Proton666 и VPN-сервисы, включая Powerhouse Management, FrootVPN и TorGuard.
Для обеспечения устойчивости своей C2-инфраструктуры группа активно использует сервисы динамического DNS (DDNS), такие как
duckdns[.]org, ip-ddns[.]com и noip[.]com. Размещение вредоносных нагрузок осуществляется с помощью легитимных интернет-сервисов, что затрудняет их обнаружение. В их число входят Bitbucket, Discord (в частности, Discord CDN), Dropbox, GitHub, Google Drive, Internet Archive, , Tagbox, и малоизвестные бразильские фотохостинги. Типичная цепочка атаки выглядит следующим образом: жертва получает электронное письмо с вложением в формате SVG. При открытии SVG-файла происходит обращение к сети доставки контента Discord для загрузки скрипта на JavaScript. Этот скрипт, в свою очередь, скачивает с сервиса PowerShell-скрипт. Первый PowerShell-скрипт декодирует и запускает вторую PowerShell-нагрузку, которая извлекает с сайта Internet Archive изображение в формате JPG. Финальным шагом является извлечение из этого изображения встроенной.NET-сборки и её выполнение в системе.
Исследователи разделили активность группы на пять кластеров. Первый кластер (февраль 2025 – июль 2025) был нацелен исключительно на правительство Колумбии с использованием DCRat, AsyncRAT и Remcos RAT. Второй (сентябрь 2024 – декабрь 2024) атаковал правительственные, образовательные, оборонные и торговые организации Колумбии при помощи AsyncRAT и XWorm. Третий кластер (сентябрь 2024 – июль 2025) характеризовался применением AsyncRAT и Remcos RAT.
Четвертый кластер (май 2024 – февраль 2025) был связан с фишинговой инфраструктурой, имитирующей сайты банков Banco Davivienda, Bancolombia и BBVA. Пятый кластер (март 2025 – июль 2025) ассоциировался с использованием Lime RAT и той же взломанной версии AsyncRAT, что и в первых двух кластерах.
Несмотря на детальный анализ, истинная мотивация Blind Eagle остается неясной. С одной стороны, наличие в кампаниях кейлоггеров и функций мониторинга браузеров, нацеленных на банковские данные, указывает на финансовый интерес. С другой стороны, постоянная и сфокусированная нацеленность на колумбийские правительственные учреждения может свидетельствовать о выполнении задач государственного шпионажа. Вопрос о том, является ли группа чисто финансово мотивированной или действует при поддержке государства, остается открытым.
