Il settore delle assicurazioni in Colombia è stato recentemente preso di mira da un gruppo di cybercriminali noto come Blind Eagle, con l'obiettivo di distribuire una versione personalizzata di un noto trojan di accesso remoto (RAT) chiamato Quasar RAT. Questo attacco, attivo dal giugno 2024, inizia con email di phishing che fingono di provenire dall'autorità fiscale colombiana, secondo quanto riportato da un ricercatore di Zscaler ThreatLabz, Gaetano Pellegrino.

Il gruppo di minacce persistenti avanzate (APT), conosciuto anche come AguilaCiega, APT-C-36 e APT-Q-98, ha una lunga storia di attacchi rivolti a organizzazioni e individui in Sud America, in particolare nei settori governativo e finanziario in Colombia ed Ecuador. Le catene di attacco iniziano con email di phishing che inducono i destinatari a cliccare su link malevoli, fungendo da trampolino di lancio per il processo di infezione.

I link, inseriti in allegati PDF o direttamente nel corpo dell'email, puntano ad archivi ZIP ospitati su Google Drive, associati a un account compromesso di un'organizzazione governativa regionale in Colombia. La strategia di Blind Eagle prevede l'invio di notifiche alla vittima, sostenendo che si tratta di un ordine di sequestro per mancati pagamenti fiscali, creando così un senso di urgenza che spinge la vittima ad agire immediatamente.

L'archivio ZIP contiene una variante di Quasar RAT denominata BlotchyQuasar, che utilizza ulteriori livelli di offuscamento con strumenti come DeepSea o ConfuserEx per ostacolare l'analisi e la reverse engineering. Questa variante di malware, già descritta nel dettaglio da IBM X-Force nel luglio 2023, possiede capacità di registrazione dei tasti, esecuzione di comandi shell, furto di dati da browser web e client FTP, e monitoraggio delle interazioni della vittima con specifici servizi bancari e di pagamento in Colombia ed Ecuador.

Il malware utilizza anche Pastebin come risolutore di dead drop per recuperare il dominio di comando e controllo (C2), sfruttando servizi di DNS dinamico (DDNS) per ospitare il dominio C2. Secondo Pellegrino, Blind Eagle protegge la propria infrastruttura utilizzando una combinazione di nodi VPN e router compromessi, principalmente situati in Colombia. Questo attacco dimostra la continua efficacia di tale strategia.