ande-loader - RunkIntel

# Ande Loader > [!medium] Loader de malware usado pelo grupo de ameaça LATAM Blind Eagle (APT-C-36) para distribuir RATs como Remcos e NjRAT contra usuários hispanófonos na indústria manufatureira e setores financeiros da América do Norte e América Latina, com foco especial na Colômbia. ## Visão Geral O Ande Loader é uma ferramenta de carregamento de malware (loader) identificada em março de 2024 pela eSentire e vinculada exclusivamente ao grupo [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (APT-C-36), um ator de ameaça ativo desde pelo menos 2018, com forte foco em alvos hispanófonos na América Latina. O nome do loader não deriva de uma string interna do malware, mas foi atribuído pelos pesquisadores da eSentire. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] é um dos grupos de ameaça mais prolíficos da região LATAM, com histórico de ataques contra entidades governamentais, instituições financeiras, empresas de petróleo e gás, e o setor manufatureiro na Colômbia, Equador, Chile e Panamá. O Ande Loader representa uma evolução nas táticas do grupo, expandindo o alcance para usuários hispanófonos na América do Norte (especialmente no setor manufatureiro dos EUA e Canadá) e diversificando os RATs finais entregues. A cadeia de ataque começa com emails de phishing que distribuem arquivos RAR ou BZ2 com senha. Os arquivos comprimidos contêm um script VBScript malicioso que estabelece persistência na pasta de inicialização do Windows e carrega o Ande Loader, que finalmente injeta o RAT final (Remcos RAT ou NjRAT) na memória de um processo legítimo. A técnica de **process hollowing** é a preferida do grupo para injeção - um processo legítimo do Windows é criado em estado suspenso, tem sua memória substituída pelo payload malicioso, e é então retomado. Para o Brasil e LATAM, o Blind Eagle é uma ameaça direta: o grupo já direcionou campanhas ao setor financeiro e governamental colombiano com lures imitando a DIAN (autoridade tributária colombiana), e o modelo de ataque é altamente replicável para o contexto brasileiro com lures da Receita Federal ou instituições bancárias. ## Como Funciona ### Attack Flow - Ande Loader / Blind Eagle ```mermaid graph TB A["🎯 Phishing LATAM Email impersonando DIAN ou entidade financeira"] --> B["📦 Arquivo RAR/BZ2 Com senha para parecer documento legítimo"] B --> C["📜 VBScript Malicioso Dentro do arquivo comprimido Copia-se para Startup folder"] C --> D["🔧 Ande Loader Loader carregado pelo VBS Estabelece persistência"] D --> E["💉 Process Hollowing Processo legítimo suspenso Memória substituída pelo RAT"] E --> F["🐀 RAT Ativo Remcos RAT ou NjRAT Comúnicação com C2 via DDNS"] F --> G["🕵️ Espionagem e Fraude Keylogging, screenshots Roubo de credenciais bancárias"] ``` ## Capacidades Técnicas O Ande Loader é um loader .NET com responsabilidade de entrega e injeção: | Capacidade | Descrição | |-----------|-----------| | Entrega via VBScript | Script VBS como dropper inicial, copiado para pasta Startup | | Persistência via Startup | Cópia do VBS na pasta de inicialização do Windows | | Injeção de processo | Process hollowing em processos legítimos do Windows | | Evasão AV | Uso de crypters (Crypters and Tools) para ofuscação estática | | Entrega Remcos RAT | Carregamento do Remcos RAT via RAR comprimido com senha | | Entrega NjRAT | Carregamento do NjRAT via BZ2 distribuído por Discord CDN | | Geolocalização | Verificação de país da vítima antes de entregar payload | ## RATs Distribuídos O Ande Loader funciona como intermediário - os payloads finais são RATs de código aberto modificados: - **Remcos RAT** - RAT comercial (maliciosamente utilizado) com capacidades de keylogging, captura de tela, acesso remoto a arquivos e shell. Versão principal distribuída via RAR comprimido - **NjRAT** - RAT open-source popular em grupos de ameaça LATAM. Versões modificadas com plugins de keylogging e captura de tela. Distribuído via BZ2 através de links em CDN do Discord - **AsyncRAT** - Também observado em campanhas mais recentes do Blind Eagle, entregue via Hijack Loader em vez do Ande Loader ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1566-phishing\|T1566.001]] | Email com arquivo RAR/BZ2 comprimido com senha | | Execução | [[T1059-command-and-scripting-interpreter\|T1059.005]] | VBScript malicioso como dropper inicial | | Persistência | [[T1547-boot-or-logon-autostart-execution\|T1547.001]] | Cópia do VBS na pasta Startup do usuário | | Defesa | [[T1027-obfuscated-files-or-information\|T1027]] | Uso de crypters (Crypters and Tools PaaS) | | Injeção | [[T1055-process-injection\|T1055.012]] | Process hollowing para execução na memória | | C2 | [[T1568-dynamic-resolution\|T1568]] | DDNS (DuckDNS) para infraestrutura de C2 | | Coleta | [[T1056-input-capture\|T1056.001]] | Keylogging via NjRAT/Remcos | ## Vitimologia e Contexto LATAM ```mermaid graph TB A["Blind Eagle - APT-C-36 Ativo desde 2018"] --> B["Alvos Primários Colômbia, Equador, Chile, Panama"] A --> C["Expansão 2024 Usuarios hispanófonos America do Norte"] B --> D["Setores Governo, financeiro petroleo, manufatura"] C --> E["Setores Manufatura industrial EUA e Canada"] D --> F["Lures DIAN, BBVA, Bancolombia Entidades juridicas"] E --> G["Lures Documentos trabalhistas Tematica fiscal em espanhol"] ``` O Blind Eagle tem um perfil operacional distinto na cena LATAM: - Campanha de **dezembro de 2024** contra instituições judiciais colombianas infectou mais de **1.600 vítimas** em uma única operação - Grupo explora ativamente **CVE-2024-43451** (vulnerability de Windows) apenas 6 dias após o patch público - Infraestrutura hospedada majoritariamente no **Proton66 OOO** (Rússia), com endereços IP consistentes - Uso de plataformas legítimas (**Google Drive, Dropbox, GitHub, Bitbucket**) para hospedar payloads intermediários ## Detecção e Defesa ### Mitigações Prioritárias 1. **Bloquear execução de VBScript** por políticas de AppLocker ou Windows Defender WDAC 2. **Monitorar pasta Startup** para criação de scripts VBScript ou executáveis não reconhecidos 3. **Detectar process hollowing** via monitoramento de criação de processos em estado suspenso 4. **Bloquear DDNS suspeito** como domínios `.duckdns.org`, `.ip-ddns.com`, `.no-ip.com` 5. **Filtrar arquivos RAR/BZ2 com senha** em gateways de email 6. **Treinar usuários** para identificar lures em português e espanhol imitando autoridades fiscais ### Indicadores de Comprometimento > [!ioc]- IOCs - Ande Loader (TLP:GREEN) > **Hashes SHA-256 (documentados):** > `7dd847e9eba6ebe8c73c45b1e8fecce43e4b73ab92d48b383516e0a6a57b00d3` > `8615c695ff31d56f8af7e5344eefe32fff4860e6542c8e0a306f15eb54c196d5` > > **Domínios C2 (históricos):** > `republicadominica2025[.]ip-ddns[.]com` > `elyeso.ip-ddns[.]com` > > **Padrões de persistência:** > Arquivo `.vbs` na pasta `%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\` > > **Comportamento de rede:** > - Downloads de GitHub/Bitbucket de repositórios suspeitos (`Oscarito20222/file`) > - Comúnicação C2 em portas não-padrão (ex: 30204) > > **Fontes:** [eSentire - Ande Loader Analysis (2024)](https://www.esentire.com/blog/blind-eagle-deploys-ande-loader) · [Rewterz - Blind Eagle Ande Loader Advisory (2024)](https://www.rewterz.com/rewterz-news/rewterz-threat-alert-blind-eagle-threat-actor-targets-manufacturing-sector-in-north-america-with-ande-loader-malware-active-iocs) ## Referências - [eSentire - Blind Eagle Deploys Ande Loader (2024)](https://www.esentire.com/blog/blind-eagle-deploys-ande-loader) - [The Hacker News - Blind Eagle Hackers Exploit Spear-Phishing (2024)](https://thehackernews.com/2024/08/blind-eagle-hackers-exploit-spear.html) - [Check Point Research - Blind Eagle: And Justice For All (2025)](https://research.checkpoint.com/2025/blind-eagle-and-justice-for-all/) - [Rewterz - Blind Eagle Targets Manufacturing Sector with Ande Loader (2024)](https://www.rewterz.com/rewterz-news/rewterz-threat-alert-blind-eagle-threat-actor-targets-manufacturing-sector-in-north-america-with-ande-loader-malware-active-iocs) - [MITRE ATT&CK - APT-C-36 G0099](https://attack.mitre.org/groups/G0099/)