Grupa naprednih stalnih prijetnji, poznata kao APT-C-36 ili “Blind Eagle”, od 2018. godine predstavlja značajnu sajber prijetnju za ključne sektore širom Latinske Amerike. Ova sofisticirana grupacija usmjerava svoje napade na kolumbijske organizacije, uključujući vladine institucije, finansijske ustanove i kritičnu infrastrukturu, koristeći dobro planirane fišing kampanje i distribuciju Trojana za daljinski pristup (RATs).
Metodologija APT-C-36 grupe se u velikoj mjeri oslanja na taktike socijalnog inženjeringa, prvenstveno putem fišing elektronskih pisama koja sadrže zlonamjerne URL-ove, što pokreće proces kompromitovanja. Grupa je pokazala značajnu prilagodljivost u svojim napadačkim vektorima, posebno u iskorištavanju ranjivosti poput CVE-2024-43451. Ovo je propust u Microsoft Windows operativnom sistemu koji omogućava otkrivanje NTLMv2 heševa lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama. Unatoč izdavanju zakrpe od strane Microsofta u novembru 2024. godine, napadači i dalje koriste mehanizam minimalne interakcije, unapređujući svoje tehnike radi održavanja efikasnosti.
Nedavna obavještenja prikupljena od novembra 2024. godine ukazuju na kontinuiranu kampanju u kojoj su članovi “Blind Eaglea” usavršili svoje mehanizme isporuke. Kada ciljni korisnici kliknu na zlonamjerne URL-ove, slijed napada pokreće WebDAV zahtjev putem HTTP porta 80, koristeći karakteristični korisnički agent string ‘Microsoft-WebDAV-MiniRedir/10.0.19044’. WebDAV, protokol koji omogućava prijenos datoteka i direktorija preko interneta, postaje sredstvo za isporuku sljedećih faza tereta i izvršavanje zlonamjernog softvera na kompromitovanim sistemima.
Analitičari Darktracea su krajem februara 2025. godine uočili značajnu operaciju “Blind Eaglea” na mreži kupca u Kolumbiji. Tom prilikom su napadači pokazali sposobnost potpunog ciklusa napada unutar pet sati. Analiza je otkrila da je kompromitovani uređaj ostvario vezu sa eksternom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog tereta ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Arhitektura komandno-kontrolne mreže napada odaje prisustvo sofisticiranih sigurnosnih mjera u operativnom radu. Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS krajnjim tačkama, specifično ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi. Dinamičke DNS usluge pružaju otpornu infrastrukturu za napadače, automatizirajući ažuriranje DNS zapisa prilikom promjene IP adresa, čime se omogućava trajni pristup unatoč mrežnim odbranama. Istraživanje je otkrilo aktivnosti izvoza podataka ukupne veličine 65.6 MiB na obje krajnje tačke; 60 MiB je preneseno na primarni komandni server, a 5.6 MiB na sekundarnu infrastrukturu, što ukazuje na sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.