Analistas identificaram uma campanha sofisticada do grupo BlindEagle contra agências do governo da Colômbia, que combina engenharia social com execução em memória para evitar detecções tradicionais.
Descoberta e escopo
Relatórios de análise da campanha indicam que, em ataques observados no início de setembro de 2025, o grupo direcionou ao menos uma agência vinculada ao Ministério de Comércio, Indústria e Turismo (MCIT) da Colômbia. A intrusão começou com um e‑mail de phishing cuidadosamente formatado para se passar pela jurisdição judicial colombiana e foi enviado a partir de uma conta já comprometida dentro da organização — fator que aumentou a credibilidade da mensagem e ajudou a contornar controles de e‑mail baseados em origem externa.
Vetor e cadeia técnica
O anexo inicial era um arquivo SVG contendo HTML codificado que redirecionava vítimas para um portal fraudulento que imitava um site judiciário legítimo. Interação com o portal desencadeou uma cadeia multiestágio: três arquivos JavaScript e um comando PowerShell que desobfuscam e carregam o estágio seguinte usando técnicas como Base64, algoritmos de ofuscação personalizados e esteganografia.
Evidências de evasão e execução em memória
- O PowerShell baixa uma imagem hospedada no Internet Archive, extrai um payload Base64 escondido dentro da imagem e carrega o binário diretamente em memória via reflexão .NET — evitando escrita em disco.
- O estágio inicial executa um downloader chamado Caminho (Caminho/Caminho downloader) com artefatos de idioma em português, que por sua vez recupera um RAT conhecido como DCRAT via CDN do Discord.
- DCRAT tem capacidades de evasão avançadas, incluindo patching do Microsoft Antimalware Scan Interface (AMSI) para reduzir detecção.
Persistência e alcance
Os invasores implementaram persistência por meio de tarefas agendadas e alterações no registro do Windows, garantindo acesso prolongado aos sistemas comprometidos. A análise não indica que o ataque tenha utilizado arquivos maliciosos gravados no disco, o que complica a detecção por soluções EDR/AV tradicionais que se baseiam em artefatos estáticos.
Limites e lacunas de informação
Fontes técnicas documentaram a cadeia completa e componentes utilizados (SVG → portal fraudulento → JavaScript → PowerShell → Caminho → DCRAT), mas não há, nos materiais públicos, informações sobre o número total de sistemas afetados dentro do governo colombiano, nem confirmação pública de impacto operacional além do comprometimento inicial. Também não há indicação pública de exfiltração massiva de dados até o momento das análises citadas.
Recomendações técnicas
- Bloquear anexos SVG ou inspecionar seu conteúdo por padrões de HTML embutido em gateways de e‑mail.
- Monitorar conexões a serviços públicos de hospedagem de arquivos e CDNs usados indevidamente (ex.: Discord CDN, Internet Archive) para padrões de download de payloads.
- Aplicar detecção baseada em comportamento que identifique execução em memória e tentativas de manipulação do AMSI.
- Reforçar monitoramento e alertas para contas internas com atividade suspeita (envio de e‑mail interno fora do padrão).
Os detalhes técnicos e indicadores de comprometimento foram disponibilizados por pesquisa de threat hunting e análise de laboratório; as equipes responsáveis por infraestruturas governamentais devem tratar a campanha como direcionada e com alto nível de sofisticação.