Kelompok peretas Blind Eagle kembali menjadi sorotan setelah terungkap melakukan serangkaian serangan siber yang menargetkan institusi pemerintah dan organisasi swasta di Kolombia sejak November 2024. Kampanye ini dilaporkan berdampak besar, dengan lebih dari 1.600 korban yang terinfeksi dalam satu serangan pada 19 Desember 2024.

Blind Eagle, juga dikenal sebagai AguilaCiega, APT-C-36, dan APT-Q-98, adalah kelompok ancaman persisten tingkat lanjut (APT) yang aktif sejak 2018. Mereka terkenal karena fokus serangannya yang sangat spesifik di Amerika Selatan, terutama Kolombia dan Ekuador.

Serangan Blind Eagle umumnya dimulai dengan rekayasa sosial (social engineering), di mana mereka mengirimkan email spear-phishing kepada target. Email ini berisi tautan atau lampiran berbahaya yang, jika diklik, memungkinkan peretas menginfeksi sistem korban dengan malware seperti:

·       AsyncRAT

·       NjRAT

·       Quasar RAT

·       Remcos RAT

Namun, yang membedakan serangan terbaru ini adalah penggunaan teknik dan alat baru:

1.      Eksploitasi CVE-2024-43451 Blind Eagle menggunakan celah keamanan pada Windows, yakni CVE-2024-43451 — sebuah kerentanan yang memungkinkan pengungkapan hash NTLMv2. Meski Microsoft telah memperbaikinya pada November 2024, kelompok ini langsung memanfaatkannya hanya enam hari setelah patch dirilis.

2.      Packer-as-a-Service (PaaS) HeartCrypt Mereka menggunakan HeartCrypt untuk mengenkripsi file berbahaya, membuat malware sulit terdeteksi. HeartCrypt melindungi PureCrypter yang bertugas meluncurkan Remcos RAT dari repositori Bitbucket atau GitHub.

3.      Distribusi Malware melalui Platform Sah Blind Eagle kini tak hanya mengandalkan Google Drive dan Dropbox, tetapi juga memanfaatkan Bitbucket dan GitHub untuk menyebarkan malware. Ini memungkinkan mereka mengelabui sistem keamanan karena menggunakan platform yang dianggap aman.

Salah satu titik lemah Blind Eagle justru muncul dari kesalahan operasional. Analisis repositori GitHub mereka mengungkap file berjudul "Ver Datos del Formulario.html" yang berisi 1.634 email beserta username, password, email password, dan PIN ATM korban. File ini sempat dihapus pada 25 Februari 2025, tetapi jejak digitalnya sudah sempat dilacak oleh para peneliti keamanan.

Menariknya, aktivitas pada repositori menunjukkan bahwa kelompok ini beroperasi di zona waktu UTC-5, sesuai dengan waktu di beberapa negara Amerika Selatan, termasuk Kolombia.

Blind Eagle menunjukkan bahwa mereka tidak hanya canggih secara teknis tetapi juga adaptif dalam menghadapi pertahanan keamanan siber. Mereka memanfaatkan platform legal untuk mendistribusikan malware dan mengadopsi alat kejahatan siber seperti Remcos RAT, HeartCrypt, dan PureCrypter.

Para pakar menyarankan organisasi dan individu untuk:

·       Meningkatkan kesadaran akan ancaman phishing

·       Memperbarui perangkat lunak dan menerapkan patch keamanan

·       Memantau lalu lintas jaringan untuk mendeteksi aktivitas mencurigakan

Serangan Blind Eagle menjadi pengingat bahwa keamanan siber bukan hanya soal teknologi, tetapi juga soal kewaspadaan dan kesiapan menghadapi ancaman yang terus berkembang.

Sumber:
Blind Eagle Hacks Colombian Institutions Using NTLM Flaw, RATs and GitHub-Based Attacks