Когда хакеры не могут выбрать между шпионажем и деньгами. Blind Eagle делает и то, и другое

Исследователи Recorded Future (группа Insikt) зафиксировали с мая 2024 по июль 2025 года пять самостоятельных кластеров активности, связанных с устойчивым оператором Blind Eagle, также отслеживаемым как TAG-144. Основной удар пришёлся на государственные структуры Колумбии на местном, муниципальном и федеральном уровнях, но под раздачу попадали и другие отрасли, а география эпизодически выходила за пределы страны.

Портрет злоумышленников складывается из повторяемых приёмов и разнообразной реализации. Во всех кластерах повторяются тактики и техники: ставка на открытые и взломанные трояны удалённого доступа (RAT) , динамические доменные провайдеры и использование легитимных интернет-сервисов (LIS) для промежуточного размещения нагрузки. При этом инфраструктура, способы доставки вредоносных модулей и эксплуатационные мелочи заметно различаются от кампании к кампании, что затрудняет простую сигнатурную корреляцию.

История Blind Eagle тянется минимум с 2018 года, и по набору целей хорошо виден гибрид мотиваций: классический кибершпионаж соседствует с чисто денежными задачами. В свежих сериях наблюдались банковские кейлоггеры и мониторинг браузера, а параллельно шло целевое заражение ведомств с установкой различных RAT. В пул жертв, помимо органов исполнительной власти, входили судебная система и налоговое ведомство, а также финансовый сектор, нефтегаз, энергетика, образование, здравоохранение, производство и профессиональные услуги. Основной театр действий — Колумбия, но отдельные эпизоды зафиксированы в Эквадоре, Чили и Панаме, а также среди испаноязычных пользователей в Северной Америке.

Цепочки заражения чаще всего начинались с прицельной рассылки от имени местных госучреждений. Письма побуждали открыть документ или перейти по ссылке, замаскированной с помощью URL-сокращателей cort[.]as, acortaurl[.]com и gtly[.]to. Для повышения правдоподобия использовались взломанные почтовые ящики реальных организаций. Дополнительно применялась геофильтрация: попытки перейти на инфраструктуру злоумышленников из-за пределами Колумбии или Эквадора переадресовывались на официальные правительственные сайты, чтобы скрыть поведение площадки при внешних проверках.

Серверы управления и контроля (C2) TAG-144 нередко опирались на IP-адреса колумбийских провайдеров связи, а также на виртуальные частные серверы (VPS) у хостеров наподобие Proton666 и на VPN-сервисы Powerhouse Management, FrootVPN и TorGuard. Маскировка усиливалась динамическими DNS-платформами duckdns[.]org, ip-ddns[.]com и noip[.]com, что позволяло быстро менять резолвинг и дробить следы.

Для стейджинга нагрузок активно задействовались легитимные сервисы: Bitbucket, Discord, Dropbox, GitHub, Google Drive, Internet Archive, lovestoblog[.]com, Paste.ee, Tagbox и менее известные бразильские фотохостинги. Такой выбор снижал вероятность блокировок по репутационным признакам и помогал проходить через корпоративные фильтры.

В технических цепочках доставки встречались два характерных маршрута. В одном сценарии вложенный файл Visual Basic Script выступал дроппером: на лету генерировал и исполнял скрипт PowerShell, который обращался к внешнему серверу за модулем-инжектором. Далее инжектор загружал и активировал одну из полезных нагрузок — Lime RAT, DCRat, AsyncRAT или Remcos RAT . Во втором сценарии рассылка содержала вложение SVG, которое тянуло JavaScript с CDN Discord; тот, в свою очередь, получал PowerShell-скрипт с Paste.ee. Следующий этап декодировал и исполнял ещё один PowerShell, забиравший JPEG-изображение с Internet Archive и извлекавший из него внедрённую .NET-сборку. Стеганография в изображении позволяла увести основной бинарь из-под пристального внимания систем контроля вложений.

Аналитики Recorded Future выделили пять кластеров и описали их по составу и временным рамкам. Кластер 1 (февраль — июль 2025) целился исключительно в государственные структуры Колумбии и опирался на DCRat, AsyncRAT и Remcos RAT. Кластер 2 (сентябрь — декабрь 2024) расширил охват: помимо госорганов задевал образование, оборону и розницу; в работе фигурировали AsyncRAT и XWorm. Кластер 3 (сентябрь 2024 — июль 2025) характеризуется развёртыванием пар AsyncRAT и Remcos RAT. Кластер 4 (май 2024 — февраль) связан с фишинговой и вредоносной инфраструктурой TAG-144, где страницы имитировали Banco Davivienda, Bancolombia и BBVA. Кластер 5 (март — июль) ассоциирован с Lime RAT и взломанной сборкой AsyncRAT, уже замеченной в кластерах 1 и 2.

Стоит отдельно отметить пересечения по артефактам: взломанный вариант AsyncRAT, применённый Blind Eagle, ранее фигурировал в инцидентах, приписываемых группировкам Red Akodon и Shadow Vector, которые в прошлом году также работали по целям в Колумбии. Это указывает на общий рынок нелегитимных билдов и пересборок и усложняет атрибуцию по одной лишь бинарной идентике.

Статистика за период наблюдений выглядит однозначно: почти 60% эпизодов приходятся на государственный сектор. Далее следуют образование, здравоохранение, розница, транспорт, оборона и нефтяная отрасль. Несмотря на ответвления в соседние страны и на отдельных испаноязычных пользователей в США, приоритет остаётся прежним — Колумбия и прежде всего её госорганы.

Вывод аналитиков звучит прагматично. Blind Eagle демонстрирует, как хорошо отлаженные, не новые по сути методы продолжают приносить высокий процент успешных заражений в регионе. Одновременно такая настойчивость в адресной выборке заставляет задавать вопросы о конечной мотивации: идёт ли речь лишь о зарабатывании на краденых данных и доступах с помощью привычных инструментов и схем монетизации или в отдельных эпизодах присутствует задача разведывательного сбора, что намекает на элементы госспонсируемой деятельности . Оба объяснения не исключают друг друга и хорошо ложатся на наблюдаемый набор целей и техник.