Negli ultimi mesi, la cybersicurezza in Sud America è stata messa a dura prova da una serie di attacchi sofisticati attribuiti al gruppo Blind Eagle. Secondo recenti ricerche, tra maggio 2024 e luglio 2025 sono stati identificati cinque cluster distinti di attività associati a questo attore persistente, con una particolare attenzione rivolta alla Colombia. Il gruppo ha preso di mira principalmente enti governativi a livello locale, municipale e federale, ma non sono mancati attacchi ai settori finanziario, energia, sanità, istruzione e servizi professionali.

Strumenti e tattiche adottate

Blind Eagle si caratterizza per l’uso di strumenti open-source e versioni crackate di remote access trojan (RAT) come DCRat, AsyncRAT, Remcos RAT, Lime RAT e XWorm. I cybercriminali sfruttano infrastrutture dinamiche attraverso servizi DNS come duckdns.org, ip-ddns.com e noip.com, oltre a server privati virtuali e VPN per mascherare la provenienza degli attacchi. Un elemento ricorrente nelle campagne del gruppo è l’impiego di email di spear-phishing, spesso inviate da account compromessi e camuffate da comunicazioni ufficiali di enti governativi colombiani. Queste email contengono allegati malevoli o link accorciati tramite servizi come cort.as, acortaurl.com e gtly.to, per convincere le vittime ad aprire documenti infetti.

Tecniche avanzate e infrastrutture

Un aspetto avanzato delle operazioni di Blind Eagle è l’uso di tecniche di geofencing. Se un utente tenta di accedere all’infrastruttura di comando e controllo da fuori Colombia o Ecuador, viene reindirizzato su siti governativi reali per evitare sospetti. Inoltre, il gruppo sfrutta servizi internet legittimi come Bitbucket, Discord, Dropbox, GitHub, Google Drive e l’Internet Archive per ospitare i payload malevoli, rendendo più difficile il rilevamento da parte dei sistemi di sicurezza.

Obiettivi e strategie

Le campagne analizzate mostrano che quasi il 60% degli attacchi ha avuto come obiettivo il settore governativo colombiano. I cinque cluster si differenziano per la tipologia di RAT utilizzati e la scelta del bersaglio, ma condividono la stessa strategia: massimizzare la persistenza e la furtività sfruttando tecniche consolidate e infrastrutture dinamiche.

Catena di attacco modulare

L’approccio modulare delle catene di attacco prevede l’invio di file SVG che scaricano payload tramite Discord CDN, attivando script PowerShell che a loro volta recuperano componenti aggiuntivi da Paste.ee o immagini JPG sull’Internet Archive, contenenti codice per ulteriore compromissione. Questa metodologia permette di eludere i controlli tradizionali e mantenere alto il tasso di successo.

La persistenza e la varietà degli strumenti usati da Blind Eagle sollevano dubbi sulle reali motivazioni del gruppo, che potrebbe agire sia per finalità economiche sia in attività di spionaggio sponsorizzato da stati.