Netcrook Logo
👤 HEXSENTINEL
🗓️ 17 Dec 2025   🌍 South America

Dentro de la Casa del Phisher: Cómo Blind Eagle Secuestra la Confianza para Vulnerar las Defensas del Gobierno Colombiano

Un colectivo de hackers sudamericano ha convertido la confianza interna del correo electrónico en un arma, desatando malware sigiloso dentro de agencias colombianas.

Todo comenzó con un solo correo electrónico, aparentemente rutinario: un mensaje que, a simple vista, cumplía con todos los requisitos de legitimidad. Enviado de una cuenta gubernamental colombiana a otra, el correo imitaba correspondencia legal oficial, con números de caso y la urgencia burocrática habitual. Pero detrás de esa fachada familiar se ocultaba Blind Eagle, un notorio grupo de hackers sudamericano, ejecutando una campaña que lograría evadir las defensas digitales incluso de las organizaciones más conscientes de la seguridad.

Datos Rápidos

  • Blind Eagle comprometió cuentas de correo internas dentro de agencias gubernamentales colombianas para lanzar ataques de spear-phishing.
  • El grupo utilizó malware sofisticado y de múltiples etapas, incluyendo Caminho y DCRAT, ambos entregados completamente en memoria para evadir la detección.
  • Los correos de phishing eludieron las verificaciones de DMARC, DKIM y SPF debido a su enrutamiento interno dentro del tenant de Microsoft 365.
  • Los atacantes aprovecharon plataformas legítimas como Discord y el Internet Archive para alojar cargas maliciosas.
  • Los principales objetivos siguen siendo entidades gubernamentales colombianas, explotando la confianza y familiaridad dentro de las redes internas.

El Nuevo Manual de Blind Eagle: La Confianza como Caballo de Troya

La última operación de Blind Eagle, descubierta por investigadores de Zscaler ThreatLabz, representa una escalofriante evolución en el spear-phishing. En lugar de depender de la suplantación externa, el grupo se apoderó de cuentas internas legítimas, un enfoque que permitió que sus mensajes pasaran incluso los controles de seguridad de correo más robustos. La campaña de phishing comenzó con un correo diseñado para parecer una notificación legal oficial, enviado desde una cuenta gubernamental comprometida a una bandeja de entrada compartida de TI, amplificando la ilusión de autenticidad.

Los detalles técnicos revelan una cadena de ataque altamente orquestada. El correo malicioso incluía un archivo adjunto en formato SVG que, al hacer clic, decodificaba una página HTML codificada en Base64 diseñada para asemejarse al portal judicial de Colombia. Esta página desencadenaba automáticamente la descarga de un archivo JavaScript con un nombre de apariencia legal, que ejecutaba una serie de scripts ofuscados en memoria. Estos scripts utilizaban Windows Management Instrumentation y PowerShell para lanzar el malware sin dejar rastros en el disco duro de la víctima.

Las cargas útiles - Caminho y DCRAT - se cargaban directamente en la memoria del sistema. Caminho, un descargador con raíces en el cibercrimen brasileño, obtenía código malicioso adicional desde el CDN de Discord y el Internet Archive. La etapa final inyectaba DCRAT, un potente troyano de acceso remoto capaz de registrar pulsaciones de teclado, acceder a discos y más. Es notable que DCRAT incluía código para neutralizar la interfaz antimalware integrada de Microsoft, dificultando aún más su detección.

Los investigadores rastrearon la campaña hasta Blind Eagle mediante una combinación de pistas de infraestructura - como el uso de dominios Dynamic DNS y alojamiento en Suecia - además de un claro patrón de ataques a agencias gubernamentales colombianas. Los atacantes explotaron el hecho de que los correos internos no están sujetos a los mismos controles de autenticación que los mensajes externos, convirtiendo la confianza en el correo electrónico en una vulnerabilidad.

El Alto Costo de la Familiaridad

La campaña de Blind Eagle es una advertencia contundente: las amenazas más peligrosas pueden venir desde dentro, disfrazadas de colegas de confianza. A medida que las organizaciones en todo el mundo dependen de plataformas de correo en la nube y colaboración interna, los atacantes están convirtiendo en arma la misma confianza que mantiene unidas a las instituciones. ¿La lección? La seguridad no consiste solo en mantener alejados a los externos, sino en cuestionar lo que ya está dentro de los muros.

WIKICROOK

  • Spear: El spear phishing es un ciberataque dirigido que utiliza correos electrónicos personalizados para engañar a individuos u organizaciones específicas y hacer que revelen información sensible.
  • DMARC, DKIM, SPF: DMARC, DKIM y SPF son protocolos de autenticación de correo electrónico que previenen la suplantación, el phishing y verifican la legitimidad del remitente para mejorar la seguridad del correo.
  • In: Un sistema de pago dentro de la aplicación permite a los usuarios comprar bienes o servicios digitales directamente en una app, ofreciendo comodidad y mayor control de ingresos a los desarrolladores.
  • Remote Access Trojan (RAT): Un troyano de acceso remoto (RAT) es un malware que permite a los atacantes controlar en secreto la computadora de una víctima desde cualquier lugar, facilitando el robo y el espionaje.
  • Process hollowing: El process hollowing es una técnica en la que el malware se oculta en la memoria de un programa legítimo, permitiéndole evadir la detección y ejecutar acciones maliciosas.
Blind Eagle spear-phishing malware
HEXSENTINEL HEXSENTINEL
Binary & Malware Analyst
← Back to news