El actor de amenaza conocido como ciego Eagle se ha atribuido con una ingreso confianza al uso del servicio de alojamiento a prueba de balas ruso Proton66.
Trustwave SpiderLabs, en un crónica publicado la semana pasada, dijo que fue capaz de hacer esta conexión al doblar desde los activos digitales ligados a Proton66, lo que lleva al descubrimiento de un clúster de amenaza activa que aprovecha los archivos de script de Visual Basic (VBS) como su vector de ataque original e instala las trutas de comunicación remoto (ratas).
Muchos actores de amenaza confían en BulletProSi admisiblemente Visual Basic Script (VBS) puede parecer anticuado, sigue siendo unde los proveedores de alojamiento como Proton66 porque estos servicios ignoran intencionalmente los informes de atropello y las solicitudes legales de asesinato. Esto facilita a los atacantes ejecutar sitios de phishing, servidores de comando y control y sistemas de entrega de malware sin interrupción.
La compañía de ciberseguridad dijo que identificaba un conjunto de dominios con un patrón de nomenclatura similar (por ejemplo, GFAST.DuckDNS (.) Org, njfast.duckdns (.) Org) a partir de agosto de 2024, todo lo cual se resolvió a la misma dirección IP («45.135.232 (.) 38») que está asociada con Proton66.
El uso de servicios DNS dinámicos como DuckDNS igualmente juega un papel secreto en estas operaciones. En oficio de registrar nuevos dominios cada vez, los atacantes rotan subdominios vinculados a una sola dirección IP, lo que dificulta la detección para los defensores.
«Los dominios en cuestión se utilizaron para organizar una variedad de contenido sagaz, incluidas las páginas de phishing y los scripts VBS que sirven como la etapa original de la implementación de malware», dijo el investigador de seguridad Serhii Melnyk. «Estos guiones actúan como cargadores para herramientas de segunda etapa, que, en esta campaña, se limitan a ratas de código campechano y a menudo de código campechano».
Si admisiblemente VBS puede parecer anticuado, sigue siendo una utensilio de relato para el comunicación original conveniente a su compatibilidad con los sistemas de Windows y la capacidad de ejecutarse en silencio en segundo plano. Los atacantes lo usan para descargar cargadores de malware, eludir herramientas antivirus y mezclar con la actividad corriente del adjudicatario. Estos scripts livianos son a menudo el primer paso en ataques de varias etapas, que luego implementan ratas, robadores de datos o keyloggers.
Se ha antagónico que las páginas de phishing legítimas a los bancos colombianos e instituciones financieras, incluidas Bancolombia, BBVA, Cárcel Caja Social y Davivienda. Blind Eagle, igualmente conocido como Aguilaciega, APT-C-36 y APT-Q-98, es conocido por su objetivo de entidades en América del Sur, particularmente Colombia y Ecuador.
Los sitios engañosos están diseñados para cosechar las credenciales de los usuarios y otra información confidencial. Las cargas bártulos de VBS alojadas en la infraestructura vienen equipadas con capacidades para recuperar archivos ejecutables cifrados de un servidor remoto, esencialmente actuando como un cargador para ratas de productos básicos como Asyncrat o REMCOS RAT.
Adicionalmente, un examen de los códigos VBS ha revelado superposiciones con VBS-CryPter, una utensilio vinculada a un servicio CRYPTER basado en suscripción llamado CRYPTERS y herramientas que se usa para ofuscar y empaquetar la carga útil de VBS con el objetivo de evitar la detección.
Trustwave dijo que igualmente descubrió un panel de botnet que permite a los usuarios «controlar las máquinas infectadas, recuperar datos exfiltrados e interactuar con los puntos finales infectados a través de un amplio conjunto de capacidades que generalmente se encuentran en las suites de papeleo de ratas de productos básicos».
La divulgación se produce cuando DarkTrace reveló detalles de una campaña de listo ciega que ha estado atacando a las organizaciones colombianas desde noviembre de 2024 explotando una descompostura de Windows ahora parchada (CVE-2024-43451) para descargar y ejecutar la carga útil de la subsiguiente etapa, un comportamiento que fue documentado por primera vez por Check Point en marzo de 2025.
«La persistencia del listo ciega y la capacidad de adaptar sus tácticas, incluso luego de que se liberaron parches, y la velocidad a la que el rama pudo continuar utilizando los aspectos más destacados de TTPS preestablecidos que la papeleo de vulnerabilidad y la aplicación de parche, aunque esencial, no es una defensa independiente», dijo la compañía.
