Napredna prijetnja APT-C-36, poznata i kao Blind Eagle, od 2018. godine predstavlja značajnu cyber prijetnju za ključne sektore u Latinskoj Americi. Ova sofisticirana grupa aktivno cilja kolumbijske organizacije, pokrećući koordinisane napade na vladine institucije, finansijske ustanove i kritičnu infrastrukturu putem pažljivo planiranih phishing kampanja i distribucije trojanaca za daljinski pristup (RATs).
Operativna metodologija grupe prvenstveno se oslanja na taktike socijalnog inženjeringa, koristeći se phishing e-mailovima koji sadrže zlonamjerne URL-ove za pokretanje procesa kompromitovanja. Blind Eagle pokazuje izuzetnu prilagodljivost u svojim vektorima napada, naročito u iskorištavanju ranjivosti poput CVE-2024-43451, propusta u Microsoft Windows sistemu koji omogućava otkrivanje NTLMv2 hasheva lozinki uz minimalnu interakciju korisnika sa zlonamjernim datotekama. Uprkos tome što je Microsoft izdao zakrpu u novembru 2024., grupa nastavlja koristiti mehanizam minimalne interakcije, razvijajući svoje tehnike kako bi održala efikasnost.
Nedavne informacije prikupljene od novembra 2024. otkrivaju tekuću kampanju u kojoj su članovi Blind Eaglea usavršili svoje načine isporuke. Kada ciljane osobe kliknu na zlonamjerne URL-ove, slijed napada pokreće WebDAV zahtjev putem HTTP porta 80, koristeći prepoznatljivi korisnički agent string ‘Microsoft-WebDAV-MiniRedir/10.0.19044’. WebDAV, protokol koji omogućava prijenos datoteka i direktorija putem interneta, postaje kanal za isporuku sljedeće faze payload-a i izvršavanje malvera na kompromitovanim sistemima.
Analitičari kompanije Darktrace identifikovali su značajnu operaciju Blind Eaglea krajem februara 2025. godine na mreži klijenta u Kolumbiji, gdje je grupa demonstrirala svoju sposobnost da završi potpuni ciklus napada u roku od pet sati. Analiza je pokazala da je kompromitovani uređaj uspostavio vezu sa eksternom IP adresom 62[.]60[.]226[.]112, geolociranom u Njemačkoj, prije preuzimanja izvršnog payload-a ‘hxxp://62[.]60[.]226[.]112/file/3601_2042.exe’.
Analiza komandne i kontrolne arhitekture napada otkriva sofisticirane operativne mjere sigurnosti. Nakon početnog kompromitovanja, zaraženi uređaj je uspostavio komunikaciju sa dinamičkim DNS endpointima, tačnije ’21ene.ip-ddns[.]com’ i ‘diciembrenotasenclub[.]longmusic[.]com’, koristeći TCP port 1512 za izvršavanje komandi. Dinamičke DNS usluge pružaju prijetnjama otpornu infrastrukturu automatskim ažuriranjem DNS zapisa prilikom promjene IP adresa, omogućavajući uporan pristup uprkos mrežnim zaštitama. Istraga je otkrila aktivnosti eksfiltracije podataka ukupne jačine 65.6 MiB preko oba endpointa, sa 60 MiB prenesenih na primarni komandni server i 5.6 MiB na sekundarnu infrastrukturu, što ukazuje na sistematičan pristup grupe krađi podataka iz kompromitovanih okruženja.