Napredna grupa prijetnji, poznata kao APT-C-36 ili Blind Eagle, aktivna je od 2018. godine i predstavlja značajnu cyber prijetnju za ključne sektore u Latinskoj Americi. Ova sofisticirana grupa usmjerila je svoje napade, s posebnim naglaskom na kolumbijske organizacije, ciljajući vladine institucije, finansijske organizacije i kritičnu infrastrukturu kroz dobro osmišljene phishing kampanje i distribuciju alata za daljinski pristup (RATs).
Metodologija rada ove grupe primarno se oslanja na tehnike socijalnog inženjeringa, najčešće putem phishing e-mailova koji sadrže zlonamjerne URL-ove, čime pokreću proces kompromitovanja. Blind Eagle je pokazao značajnu sposobnost prilagođavanja u svojim vektorima napada, naročito iskorištavajući ranjivosti kao što je CVE-2024-43451. Ova ranjivost u sistemu Microsoft Windows omogućava otkrivanje NTLMv2 hash-eva lozinki uz minimalnu interakciju korisnika s kompromitovanim datotekama. I pored objavljivanja zakrpe od strane Microsofta u novembru 2024. godine, grupa nastavlja koristiti mehanizam minimalne interakcije, razvijajući svoje tehnike kako bi zadržala operativnu efikasnost.
Nedavna obavještajna saznanja, prikupljena od novembra 2024. godine, ukazuju na nastavak kampanje u kojoj su članovi Blind Eaglea usavršili svoje metode isporuke. Kada ciljane osobe kliknu na zlonamjerne URL-ove, slijed napada inicira WebDAV zahtjev preko HTTP porta 80, koristeći specifičan niz korisničkog agenta ‘Microsoft-WebDAV-MiniRedir/10.0.19044’. WebDAV, kao protokol za prijenos datoteka i direktorijuma preko interneta, postaje kanal za isporuku sljedeće faze tereta i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari iz kompanije Darktrace identificirali su značajnu operaciju grupe Blind Eagle krajem februara 2025. godine na mreži klijenta u Kolumbiji, gdje su napadači uspjeli završiti potpuni ciklus napada u roku od pet sati. Analiza je pokazala da je kompromitovani uređaj uspostavio vezu s vanjskom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog tereta putem adrese ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju s dinamičkim DNS endpointima, konkretno ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi. Dinamičke DNS usluge pružaju napadačima otpornu infrastrukturu, automatski ažurirajući DNS zapise prilikom promjene IP adresa, što im omogućava trajni pristup uprkos mrežnim zaštitama. Istraživanje je otkrilo aktivnosti izdvajanja podataka ukupne jačine 65.6 MiB na oba endpointa, pri čemu je 60 MiB preneseno na primarni komandni server, a 5.6 MiB na sekundarnu infrastrukturu, što ukazuje na sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.