BlindEagle es un grupo de amenazas cibernéticas enfocado en instituciones gubernamentales en Colombia. En una campaña descubierta por Zscaler ThreatLabz, este actor empleó phishing interno para comprometer cuentas de correo y enviar mensajes maliciosos desde direcciones oficiales, evadiendo controles de seguridad como DMARC, DKIM y SPF.
La campaña evidencia la evolución de sus tácticas, técnicas y procedimientos (TTP), pasando de malware simple a cadenas multietapa con ofuscación, uso de servicios legítimos (como Discord) y múltiples cargas útiles. Investigadores destacan que BlindEagle perfecciona su arsenal de herramientas como Caminho (downloader) y DCRAT (troyano de acceso remoto) para lograr persistencia y control de sistemas comprometidos.
A continuación, compartimos Indicadores de Compromiso (IoC) para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
La operación consistió en una campaña multietapa bien diseñada que comenzó con spear-phishing interno, utilizando una cuenta comprometida para que el correo pareciera legítimo dentro de Microsoft 365. El mensaje incluía un SVG interactivo que, al abrirse, mostraba una página falsa destinada a engañar al usuario y ejecutar JavaScript oculto.
Este script malicioso activaba un comando PowerShell en memoria, sin escritura en disco, lo que daba paso a la descarga de un downloader (Caminho), encargado de obtener la carga final desde un servidor externo, mediante un enlace alojado en Discord.
La etapa final fue la implantación de DCRAT, un troyano de acceso remoto (RAT) que permite control del sistema, evasión de detección y persistencia.
En conjunto, la campaña evidencia la evolución de BlindEagle hacia ataques más complejos, con cadenas de malware multicapa que combinan esteganografía, ofuscación avanzada y el abuso de servicios legítimos para evadir controles de seguridad tradicionales.
