El 25 de enero de 2025, a las 2:01 p.m., un integrante de la ciberbanda criminal Blind Eagle cometió un descuido en su cuenta de GitHub, dejando al descubierto durante una hora información altamente sensible de 8.400 víctimas colombianas.

Los datos expuestos incluían claves de cajero automático, nombres de usuario y contraseñas de banca en línea, además de credenciales de correo electrónico. Esta filtración evidencia la sofisticación del ataque y sugiere que el verdadero alcance del robo podría ser aún mayor de lo que se ha podido determinar.

El error se corrigió una hora y media después, tiempo suficiente para que un grupo de investigadores de Check Point Research lograra comprender las consecuencias de tan solo una operación de un ataque digital masivo que opera en Colombia y que busca no solo robar datos bancarios sino realizar operaciones de espionaje cuyo objetivo son entidades públicas.

Si bien se conoce la presencia y actividad del grupo Blind Eagle desde 2018, desde el pasado 12 de noviembre este grupo encontró como explotar una falla en los sistemas operativos Windows que les permite, de una forma muy sofisticada, no solo robar datos personales privados si no controlar dispositivos enteros.  

Con evidencias, los investigadores que lograron detectar el complejo funcionamiento del ataque afirman sin temor o dudas que Blind Eagle también conocido como APT-C-36 es un grupo que realiza una operación de espionaje y cibercrimen en todo el país.  

La actividad de este grupo se mantiene casi que en secreto sin que ninguna autoridad colombiana advierta las graves consecuencias o modo de operación. Silencio y falta de advertencias que podrían haber generado una infección masiva de computadores tanto a nivel privado como de instituciones públicas. Para los investigadores estamos ante un ataque a infraestructura crítica colombiana.

Forma de ataque inusual y altamente efectivo

Blind Eagle emplea una combinación de ingeniería social y correos electrónicos falsificados que contienen archivos adjuntos maliciosos. Si estos archivos se descargan e instalan en un dispositivo, los atacantes pueden obtener control remoto sobre él. A primera vista, esta estrategia no parece diferir de los tradicionales ataques de phishing.

La gran diferencia frente a otros tipos de ataque, y en lo que radica el mayor riesgo, es que malware se puede instalar con acciones como darle clic con el botón derecho, borrarlo o simplemente arrastrarlo de una carpeta a otro.

En términos sencillos, la recomendación más básica en seguridad digital es evitar descargar o instalar archivos adjuntos provenientes de correos sospechosos, una advertencia bien conocida por la mayoría de los usuarios de Internet. Sin embargo, la tecnología desarrollada y utilizada por estos ciberdelincuentes permite que una simple acción, como hacer clic derecho para verificar el tipo de archivo, sea suficiente para desencadenar la infección del dispositivo.

Pero no solo las acciones más básica que puede ejecutar un usuario terminan instalando el software de ataque. Otra de las sofisticadas formas de ofensiva viene con el archivo adjunto .URL que usan para iniciar la vulneración. Un tipo de archivo adjunto no tradicional en ataques y que puede engañar hasta las personas con un mayor conocimiento digital.

En concreto el ataque usa un correo electrónico que toma diferentes formas y es enviado desde diferentes tipos de correos electrónicos. Tanto de entidades públicas como de cuentas de correo electrónicas vulneradas que pertenece a empresas.

A muchoHacker.lol han llegado diversas versiones del mismo tipo de ataque. Uno de estos muestra como los atacantes lograron tener acceso al correo [email protected] desde donde se difunde una de las variables de correo que usan para el engaño. Esta evidencia muestra cómo se usa infraestructura técnica del Estado para realizar los ataques.

Los atacantes saben bien lo que hacen y han logrado vulnerar incluso empresas de abogados desde donde sale el ataque digital ya que con esta acción se podría dar credibilidad al tipo de ataque que mayormente vienen en forma de comunicación jurídica colombiana.

Los investigadores han detectado diversas formas del correo atacante que contiene texto como el siguiente:

• Juzgados de ejecución de sentencias de Bogotá con función de conocimiento programó diligencia de CONTINUACIÓN JUICIO ORAL REFERENCIA.url
  ? Los juzgados de ejecución de sentencias de Bogotá con función de conocimiento programaron una diligencia para la continuación del juicio oral en referencia.
• NOTIFICACIÓN_AUDIENCIA_TOMA_DE_MUESTRA_QUE_INVOLUCREN_IMPUTADO.url
  ? Notificación de audiencia para la toma de muestras que involucren al imputado.
• QUERELLA_JUDICIAL_No7254178000020150023000_Juzgado 9 Municipal de Pequeñas Causas Laborales de Bogotá.url
  ? Querella judicial No. 7254178000020150023000, Juzgado 9 Municipal de Pequeñas Causas Laborales de Bogotá.
• este despacho le informa que deberá comparecer ante el Juzgado Penal (6to) del Circuito de Bogotá.url
  ? Este despacho le informa que deberá comparecer ante el Juzgado Penal (6to) del Circuito de Bogotá.
• en virtud del artículo 220 de la Ley colombiana/Juzgados de Ejecución De Penas y Medidas De Seguridad.url
  ? En virtud del artículo 220 de la Ley Colombiana / Juzgados de Ejecución de Penas y Medidas de Seguridad.
• COMUNICADO N° 00239948 PROFERIDO PENAL 00028483 28 DE NOVIEMBRE/OFICIO N° 00239948 PROFERIDO PENAL 00028483 28 DE NOVIEMBRE.url
  ? Comunicado N° 00239948 proferido Penal 00028483 el 28 de noviembre / Oficio N° 00239948 proferido Penal 00028483 el 28 de noviembre.
• Oficio Tutelar 0439594 – Proceso N° 03948939-002024.url
  ? Oficio Tutelar 0439594 – Proceso N° 03948939-002024.

Dicen los expertos que vienen haciéndole seguimiento a este grupo que varios de los archivos que contienen el Malware que infecta ni siquiera es detectado por Virus Total, una gigante base de datos de contenido peligroso que analiza millones de formas de ataque en el mundo.

Igualmente, reconocen, que varios de los ataques que ya ha realizado este grupo tienen como objetivo varias instituciones públicas colombianas.

Operaciones Paraíso, Socialismo y Miami

Personas que trabajan en instituciones como la Policía Nacional (correo.policia.gov.co), la Superintendencia de Industria y Comercio (sic.gov.co), la Contraloría General de la República (contraloria.gov.co), la Agencia de Desarrollo Rural (adr.gov.co) y la Dirección de Impuestos y Aduanas Nacionales (dian.gov.co) han sido afectadas, posiblemente, por un malware desplegado y ejecutado por Blind Eagle.

En el análisis de una sola operación con 8.400 víctimas, los investigadores identificaron cinco correos electrónicos pertenecientes a instituciones públicas y 14 de universidades, cuyos datos privados fueron robados y expuestos en Internet durante una hora.

Así mismo en enero 21 y 22 de 2025 se detectó otro tipo de ataque muy difícil de detectar en el que se usa un comprobante de pago de Bancolombia alojado en un Google que tiene el archivo .url que facilita la infección de los dispositivos.

Para que los atacantes logren finalmente el control de un dispositivo suceden una serie de complejos pasos técnicos que inician con el engaño producto del correo y pasa por el desconocimiento del usuario al interactuar con el archivo infectado. Luego de esto pasan una serie de instalaciones y procedimientos de camuflaje del malware que culminan con entregarle control del dispositivo a los atacantes.

No existe duda de que esto es real y está pasando en Colombia. Los investigadores pudieron confirmar datos reales de personas afectadas.

En medio de los análisis que se vienen realizando aparece reiteradamente el uso de la ip 177.255.85[.]101. Un total de 1.600 personas fueron víctimas de la instalación Recoms Rat. En tan solo una semana 9.000 víctimas pudieron pasar por la infraestructura técnica de los atacantes.

Silencio y desconocimiento de las autoridades colombianas

En este momento Colombia no tiene una autoridad que emita alertas (Al menos no de acceso público y masivo) que permita a empresas, instituciones o personas advertir sobre vulneraciones masivas. 

Esta tare,a en un punto de la historia, la ha venido haciendo el Colcert que emitía unas alertas públicas, pero al revisar el día de hoy el link donde se publicaban ahora dirige a los boletines del CISA, la agencia norteamericana. MuchoHacker.lol se comunicó via X con el Colcert, respondieron que se iban a comunicar si se enviaba un correo que finalmente se envió a las 2:00 de la tarde.

El Csirt del sistema financiero tiene dos alertas al respecto con fecha 2023. Lo que sugiere que la evolución de los ataques del grupo no ha sido identificado por el grupo de vigilancia de seguridad que mantiene seguro el sistema financiero colombiano.

Es imperativo y muy importante que tanto empresas colombianas como las personas comunes y corrientes tengan claro qué está pasando y las medidas de seguridad básicas para evitar caer en esta compleja trama.

Lo primero que se debe asegurar es tener la actualización que tenga el parche para  CVE-2024-43451. Es decir, cualquier computador Windows, tiene que tener esa actualización.

En segunda medida de seguridad para usuarios de todo tipo en Colombia, es que deben reconocer los correos electrónicos que se usan para el ataque y aprender a identificar el archivo .URL sin descargarlo a los computadores o interactuar con él.  Solo basta observar con detenimiento la extensión del archivo. Si dice .url no se debe descargar, no se debe borrar una vez descargado. Lo que se debe hacer es borrar el correo. Este ataque solo se ha registrado en sistemas operativos Windows desde el 7 hasta el 11.