g0099-blind-eagle-apt-c-36

# Blind Eagle (APT-C-36) > [!warning] **Blind Eagle (APT-C-36)** é um grupo de ameaça atribuído a **Colômbia** ativo desde **2018**. ## Perfil **Blind Eagle** é o grupo de ameaça persistente avançada (APT) mais sofisticado com origem na América Latina, operando desde pelo menos abril de 2018. Diferente dos APTs patrocinados por potências globais, o Blind Eagle opera dentro de um contexto regional distinto, refletindo a maturação do cenário de ameaças cibernéticas latino-americano. O grupo é rastreado pelo MITRE ATT&CK como [[G0099]]. **Visão geral:** - Origem geográfica: Colômbia (suspeita) - Motivação primária: espionagem (inteligência governamental) e financeiro (roubo de credenciais, venda de dados) - Período de atividade: abril de 2018 até o presente - Perfil de sofisticação: alto - evolução contínua de TTPs, uso de supply chain attacks e ransomware - Relevância para LATAM/Brasil: altíssima - ator nativo da região com foco exclusivo em alvos latino-americanos **Descrição:** O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] combina motivações de espionagem estatal com cibercrime financeiro, um perfil dual que o distingue de outros atores regionais. O grupo demonstra profundo conhecimento do ambiente sociotécnico latino-americano, utilizando engenharia social contextualizada - como falsificação de comúnicações da [[DIAN]] (autoridade tributária colombiana), órgãos judiciais e empresas de telecomúnicações - para enganar vítimas e distribuir payloads maliciosos. Suas campanhas impactaram mais de 1.600 organizações públicas e privadas, infectando aproximadamente 9.000 sistemas em uma única onda em 2024. Utiliza extensivamente [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment|spear-phishing]], RATs comerciais como [[s0332-remcos|Remcos]] e [[s1087-asyncrat|AsyncRAT]], e técnicas de living-off-the-land (LOTL) para manter persistência e exfiltrar dados. ### Attack Flow - Blind Eagle ## TTPs Principais | Tática | Técnica | ID ATT&CK | Descrição | |--------|---------|-----------|-----------| | Initial Access | Spear-phishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Arquivos RAR/ZIP protegidos por senha, arquivos .url maliciosos | | Initial Access | Spear-phishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | URLs maliciosas para download via WebDAV | | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de appliances Fortigaté para acesso inicial | | Execution | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | VBScript em documentos Word com macros maliciosas | | Execution | User Execution | [[t1204-user-execution\|T1204.002]] | Vítimas induzidas a aceitar macros e executar arquivos | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas disfarçadas como processos Google | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas para manutenção de acesso | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação ConfuserEx, payloads comprimidos e cifrados | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Tarefas e serviços disfarçados como processos legítimos | | Credential Access | Brute Force | [[t1110-brute-force\|T1110]] | Brute force de credenciais NTLM e senhas de administrador | | Discovery | Remote System Discovery | [[t1018-remote-system-discovery\|T1018]] | Reconhecimento de rede e enumeração de serviços | | Lateral Movement | Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570]] | PsExec e Rclone para movimentação lateral | | C2 | Non-Standard Port | [[t1571-non-standard-port\|T1571]] | Comúnicação C2 em portas não-padrão (ex: 4050, 1512, 3020) | | C2 | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Uso de Cloudflare Tunnel para C2 | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2\|T1041]] | Dados exfiltrados pelo canal de comando e controle | | Exfiltration | Alternative Protocol | [[t1048-exfiltration-alternative-protocol\|T1048]] | Exfiltração via MEGA cloud storage com Rclone | ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota. ```mermaid graph TB A["🎣 T1566 Spear-phishing"] --> B["📄 T1204 User Execution"] B --> C["⚙️ T1059.005 VBScript/Loader"] C --> D["🔒 T1053.005 Persistence"] D --> E["🛡️ T1027 Evasion"] E --> F["🔑 T1110 Credential Access"] F --> G["🌐 T1571 C2 Non-Standard Port"] G --> H["📤 T1048 Exfiltration MEGA"] ``` ## Campanhas Documentadas - [[Campanha DIAN 2023]] - Fevereiro de 2023, o grupo se passou pela Direção Nacional de Impostos e Aduanas da Colômbia (DIAN), enviando emails de spear-phishing que urgiam destinatários a regularizar obrigações fiscais. Entregou payloads Meterpreter via anexos maliciosos direcionados a organizações [[government|governamentais]] e do setor [[financial]] colombiano. - [[Campanha PARAISO 2024]] - Novembro de 2024, campanha massiva contra mais de 1.600 organizações públicas e privadas na Colômbia, incluindo instituições judiciais. Infectou aproximadamente 9.000 sistemas usando arquivos .url maliciosos que exploravam uma variante do [[cve-2024-43451|CVE-2024-43451]] (divulgação de hash NTLMv2) mesmo após o patch da Microsoft. Utilizou [[s0332-remcos|Remcos]] como payload principal, com infraestrutura baseada em DNS dinâmico e GitHub para staging. - [[Blind Eagle Espionage LATAM 2025]] - Início de 2025, campanha de espionagem direcionada a [[government|governos]], [[telecommunications|telecomúnicações]] e infraestrutura crítica na Colômbia, Equador, Chile e Panamá. Deployou múltiplos RATs incluindo [[Gh0stCringe]], [[s0332-remcos|Remcos]], [[s1087-asyncrat|AsyncRAT]], [[HoldingHands]] e [[BlotchyQuasar]], demonstrando arsenal diversificado e capacidade operacional madura. - **Campanha Ande Loader (julho 2024)** - Alvo: setor manufatureiro na América do Norte, focando usuários de língua espanhola. Distribuiu o loader [[Ande Loader]] via arquivos RAR/BZ2 hospedados no Discord CDN, entregando [[s0332-remcos|Remcos]] ou [[s0385-njrat|njRAT]] como payload final. Utilizou crypters dos desenvolvedores Roda e Pjoao1578. - **Incidente Fortigaté (outubro 2025)** - Acesso inicial via exploração de appliance Fortigaté, com dwell time de três meses antes de movimentação lateral usando credenciais de administrador bruteforçadas e PsExec. Exfiltrou mais de 65 MiB de dados via MEGA usando Rclone, e deployou ransomware World Leaks com extensões de arquivo customizadas. - **Campanha MCIT Colombia (setembro 2025)** - Ataque direcionado a uma agencia sob o Ministerio do Comercio, Industria e Turismo (MCIT) da Colombia. O grupo utilizou o **Caminho downloader** para entregar uma variante aprimorada do **[[s1038-dcrat|DCRat]]**, com abuso de contas de email internas comprometidas para distribuir spear-phishing de dentro da propria organização alvo - tornando detecção baseada em reputacao de remetente ineficaz. Documentado pelo Cyfirma em dezembro de 2025. - **Campanha GhostSocks (2025)** - Campanha documentada pelo Darktrace (fevereiro-junho 2025) que introduz o **GhostSocks** como novo backdoor no arsenal do grupo. O payload e entregue via `Renewable.exe` (MD5 rastreado) de infraestrutura 86.54.24[.]29, facilitando download de payloads adicionais de `www.lbfs[.]site` e `d2ihv8ymzp14lr.cloudfront.net`. Demonstra capacidade de diversificacao de arsenal alem dos RATs comerciais tradicionais. ## Relevância para o Brasil e LATAM > [!warning] Ator de Alta Relevância Regional > O Blind Eagle é o APT com maior impacto documentado para a América Latina, com alvos confirmados no Brasil, Colômbia, Equador, Chile e Panamá. Organizações dos setores [[government|governamental]], [[financial]] e de [[education|educação]] devem priorizar monitoramento. ### Alvos Primários O alvo central histórico do [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (também rastreado como APT-C-36 e TAG-144) é o **governo colombiano**, abrangendo todos os níveis: municipal, estadual e federal. A partir de 2024, o grupo expandiu sistematicamente para o **Equador** e demais países da região, com casos documentados no Brasil. **Setores alvo confirmados:** - [[government]] - ministérios, tribunais, órgãos de arrecadação (ex: DIAN), forças de defesa - [[education|educação]] - universidades e instituições de pesquisa - [[defense|defesa]] - órgãos militares e de inteligência colombianos - [[financial]] - bancos, seguradoras, fintechs - foco em roubo de credenciais bancárias - [[retail]] e serviços - alvo oportunista para coleta de dados pessoais ### TTPs de 2025 As campanhas mais recentes demonstram evolução tática significativa: - **Spear-phishing contextualizado**: lures com identidade visual de órgãos governamentais reais, enviados via contas de email comprometidas de entidades legítimas (não apenas domínios falsos) - **Encurtadores de URL e redirecionamentos**: uso de serviços como Bitly, TinyURL e domínios legítimos comprometidos para mascarar destinos maliciosos - evitando filtragem por reputação de domínio - **Arquivos RAR/LHA protegidos por senha**: técnica consolidada para bypass de secure email gateways e sandboxes que não têm a senha - **PDFs maliciosos**: exploração de [[cve-2023-38831|CVE-2023-38831]] (vulnerabilidade WinRAR) e [[cve-2025-31324|CVE-2025-31324]] via documentos PDF aparentemente legítimos - **Esteganografia**: ocultação de payloads em imagens PNG/BMP para bypass de inspeção de conteúdo - **Execução fileless**: uso de [[t1059-005-visual-basic|VBScript]] e PowerShell para carregar payloads diretamente na memória, sem tocar o disco - **Abuso de serviços legítimos**: payloads hospedados no **Discord CDN**, staging via **GitHub** e **Backblaze**, exfiltração para **MEGA** - todos serviços com reputação alta nos proxies corporativos ### CVEs Explorados | CVE | Produto | Impacto | Uso pelo Blind Eagle | |-----|---------|---------|----------------------| | [[cve-2023-38831\|CVE-2023-38831]] | WinRAR < 6.23 | RCE via arquivo ZIP/RAR malicioso | Documentos RAR com macros ocultas - entrega de RATs | | [[cve-2024-43451\|CVE-2024-43451]] | Windows (MiniRedirector) | Divulgação de hash NTLMv2 | Arquivos .url maliciosos na Campanha PARAISO 2024 | | [[cve-2025-31324\|CVE-2025-31324]] | SAP NetWeaver | Upload não autenticado + RCE | Exploração de alvos corporativos e governamentais | ### Infraestrutura C2 e Dynamic DNS O grupo abusa extensivamente de serviços de **DNS dinâmico** para infraestrutura C2, tornando o bloqueio por IP ineficaz: - **duckdns.org** - serviço gratuito, amplamente usado para apontar para VPS com IPs rotativos - **noip.com** - alternativa ao DuckDNS, com subdomínios personalizáveis - **VPS em ISPs colombianos** - servidores hospedados localmente na Colômbia para reduzir latência e misturar tráfego com comúnicações legítimas da região - Rotação frequente de IPs associados aos mesmos subdomínios DDNS - IoCs de IP têm vida útil curta ### Arsenal de Malware (2024–2025) O Blind Eagle opera com um arsenal de RATs comerciais, majoritariamente crackeados ou modificados: | Malware | Tipo | Função Principal | |---------|------|-----------------| | [[s0332-remcos\|Remcos]] | RAT (crackeado) | Controle remoto, keylogging, captura de tela | | [[s1087-asyncrat\|AsyncRAT]] | RAT open-source | C2 assíncrono, persistência, roubo de dados | | [[s1038-dcrat\|DCRat]] | RAT | Keylogging, roubo de credenciais | | [[s0262-quasarrat\|QuasarRAT]] / [[BlotchyQuasar]] | RAT (variante) | Controle remoto com esteganografia | | [[LimeRAT]] | RAT | Mineração de criptomoedas + espionagem | | [[s0385-njrat\|njRAT]] | RAT | Acesso remoto persistente | | [[xworm\|XWorm]] | RAT | Keylogger, roubo de clipboard, ransomware | ### Motivação Dual: Espionagem + Financeiro Diferente de APTs puramente estatais, o Blind Eagle opera com **dupla motivação**: 1. **Espionagem cibernética**: coleta de documentos governamentais, monitoramento de alvos políticos, vigilância de funcionários públicos e militares - alinhada com possível patrocínio estatal colombiano 2. **Ganho financeiro**: keyloggers bancários para roubo de credenciais de internet banking, venda de dados no mercado clandestino, potencial ransomware (World Leaks, documentado em 2025) Esta dualidade permite ao grupo sustentar suas operações financeiramente enquanto conduz inteligência estratégica - um modelo observado também em grupos norte-coreanos como [[g0032-lazarus-group|Lazarus Group]]. ## Infraestrutura e IoCs **Servidores de Comando e Controle (C2):** - Protocolos utilizados: HTTPS, WebDAV (porta 80), portas não-padrão ([[t1571-non-standard-port|T1571]], ex: 4050, 1512, 3020) - Uso extensivo de serviços de DNS dinâmico para C2 - Cloudflare Tunnel ([[t1572-protocol-tunneling|T1572]]) para tunelamento de tráfego C2 - GitHub e Backblaze para staging de payloads - MEGA cloud storage para exfiltração de dados via Rclone **Padrões de infraestrutura:** - Domínios de DNS dinâmico (ex: ip-ddns[.]com, ddns-ip[.]net) - User-agent: Microsoft-WebDAV-MiniRedir para downloads de malware - Persistência via chaves de registro Run Keys ou pasta Startup do Windows - Arquivos protegidos por senha para bypass de gateways de email *Nota: IoCs do Blind Eagle são altamente voláteis devido à rotação frequente de infraestrutura. Consultar feeds atualizados do MITRE, Check Point e Kaspersky para indicadores correntes.* ## Foco LATAM/Brasil O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] é o ator de ameaça com maior relevância direta para organizações latino-americanas. Como grupo nativo da região, possui vantagens únicas: **Por que o Blind Eagle é diferente:** - Conhecimento profundo do contexto sociopolítico e institucional latino-americano - Engenharia social altamente contextualizada - falsifica comúnicações de órgãos reais como DIAN, tribunais e operadoras de telecomúnicações - Foco exclusivo em alvos da região, diferente de APTs globais que atacam LATAM secundariamente - Telemetria do Lumu Maltiverse (setembro-outubro 2025) confirmou Brasil e Colômbia como epicentros de atividade, com ~13% de avistamentos nos EUA indicando risco de supply chain **Setores alvo no Brasil:** - [[financial]] - bancos, fintechs, corretoras - roubo de credenciais e dados financeiros - [[government]] - ministérios, agências reguladoras, tribunais - espionagem e coleta de inteligência - [[telecommunications|telecomúnicações]] - operadoras e provedores de infraestrutura - [[energy]] - infraestrutura crítica como alvo estratégico **Recomendações para organizações brasileiras:** - Implementar MFA resistente a phishing (FIDO2/WebAuthn) em todos os sistemas críticos - Monitorar tráfego WebDAV na porta 80 e conexões a serviços de DNS dinâmico - Bloquear execução de arquivos .url de fontes externas - Implementar EDR com detecção de RATs comerciais (Remcos, AsyncRAT, njRAT) - Patch imediato de appliances de borda (Fortigaté, VPN gateways) ## Referências - MITRE ATT&CK - Blind Eagle (G0099) - [Check Point Research - Blind Eagle: ...And Justice for All](https://research.checkpoint.com/2025/blind-eagle-and-justice-for-all/) - [Kaspersky Securelist - BlindEagle APT](https://securelist.com/blindeagle-apt/113414/) - [Darktrace - Patch and Persist: Detection of Blind Eagle](https://www.darktrace.com/blog/patch-and-persist-darktraces-detection-of-blind-eagle-apt-c-36) - [Lumu - APT-C-36 Blind Eagle Supply Chain Risk](https://lumu.io/blog/apt-c-36-blind-eagle-supply-chain-risk/) - [Obsidian Security - BlindEagle Targets Latin América](https://www.obsidiansecurity.com/incident-watch/blindeagle-apt-c-36-targets-latin-america-spear-phishing-espionage) - [BranDefense - APT-C-36 Blind Eagle Group](https://brandefense.io/blog/apt-c-36-blind-eagle-group/) - [The Hacker News - Blind Eagle Hacks Colombian Institutions](https://thehackernews.com/2025/03/blind-eagle-hacks-colombian.html) **Atores relacionados:** [[g0095-machete|Machete]] · [[g0010-turla|Turla]] · [[g0064-apt33|APT33]] **Campanhas:** [[Campanha DIAN 2023]] · [[Campanha PARAISO 2024]] · [[Blind Eagle Espionage LATAM 2025]] **Malware e ferramentas:** [[s0332-remcos|Remcos]] · [[s1087-asyncrat|AsyncRAT]] · [[s0385-njrat|njRAT]] · [[s0262-quasarrat|QuasarRAT]] · [[Ande Loader]] · [[BlotchyQuasar]] · [[Gh0stCringe]] · [[s0434-imminent-monitor|Imminent Monitor]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] · [[t1059-005-visual-basic|T1059.005 - Visual Basic]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] · [[t1048-exfiltration-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] **CVEs exploradas:** [[cve-2023-38831|CVE-2023-38831]] · [[cve-2024-43451|CVE-2024-43451]] · [[cve-2025-31324|CVE-2025-31324]] **Setores alvejados:** [[financial]] · [[government]] · [[telecommunications|telecomúnicações]] · [[energy]] · [[technology]]