Investigadores de Trustwave SpiderLabs han establecido con alta confianza una conexión directa entre el grupo de amenazas Blind Eagle (también conocido como APT-C-36) y la infraestructura del proveedor ruso de hosting Proton66, conocido por ofrecer servicios de alojamiento “bulletproof” utilizados por múltiples actores maliciosos. Esta asociación refuerza la hipótesis de que Blind Eagle, históricamente activo en campañas de phishing contra entidades financieras en América Latina —especialmente en Colombia—, ha evolucionado hacia una operación más estructurada y resiliente.
El análisis comenzó con una serie de pivotes desde activos vinculados a Proton66, lo que llevó a la identificación de un clúster de infraestructura operativa activa. Esta red se caracteriza por el uso exclusivo de scripts en Visual Basic (VBS) como vector inicial, el aprovechamiento de servicios gratuitos de DNS dinámico (como DuckDNS), y la distribución de troyanos de acceso remoto (RATs) de código abierto como segunda etapa.
Uno de los hallazgos clave fue un conjunto de dominios con patrones de nomenclatura similares, registrados a partir de agosto de 2024, todos resolviendo a la dirección IP 45.135.232[.]38, parte de un bloque de direcciones asociado a Proton66 OOO. Estos dominios alojaban contenido malicioso, incluyendo páginas de phishing que imitaban portales de bancos colombianos y scripts VBS diseñados para cargar malware adicional.
Los scripts analizados mostraban coincidencias con muestras generadas por Vbs-Crypter, un servicio de suscripción ampliamente utilizado para ofuscar y empaquetar payloads en VBS, dificultando su detección por herramientas estáticas. Además, se descubrieron múltiples directorios abiertos en la infraestructura, muchos de los cuales contenían archivos idénticos, incluyendo páginas de phishing completas y binarios maliciosos.
En algunos casos, los atacantes ni siquiera intentaron ocultar su infraestructura, lo que sugiere una confianza excesiva en la resiliencia de Proton66 frente a acciones legales o de desmantelamiento. Esta falta de opsec contrasta con la sofisticación técnica de los ataques, lo que podría indicar una operación con recursos, pero sin presión inmediata.
La campaña también evidencia un patrón de abuso de servicios legítimos para mantener persistencia y anonimato. El uso de DNS dinámico, herramientas de ofuscación comerciales y RATs de código abierto permite a Blind Eagle operar con bajo costo y alta flexibilidad, adaptando su infraestructura rápidamente ante cualquier intento de interrupción.
La vinculación con Proton66 no solo expone una capa más profunda de la operación de Blind Eagle, sino que también destaca el papel crítico que juegan los proveedores de hosting permisivos en la cadena de ataque. La infraestructura de Proton66 ha sido previamente asociada con otros grupos y campañas, lo que sugiere que podría estar funcionando como un nodo central para múltiples actores.
📎 Fuente: Trustwave – Tracing Blind Eagle to Proton66
