Recorded Future Insikt Grubu tarafından izlenen Blind Eagle tehdit aktörü, 2024 Mayıs ile 2025 Temmuz arasında özellikle Kolombiya hükümet kurumlarına yönelik karmaşık saldırılar gerçekleştirdi. TAG-144 kod adlı bu kampanyalar, açık kaynaklı ve kırılmış uzaktan erişim trojanları (RAT’ler), dinamik DNS altyapısı ve meşru internet servislerinin hazırlık aşamasında kullanımı gibi gelişmiş tekniklerle dikkat çekiyor.
Beş Ayrı Faaliyet Kümesi ve Hedef Sektörler
Analizler, Blind Eagle faaliyetlerini beş farklı kümede sınıflandırıyor. Bu kümeler, DCRat, AsyncRAT, Remcos RAT ve Lime RAT gibi çeşitli kötü amaçlı yazılımların dağıtımını içeriyor. Hedefler arasında Kolombiya hükümeti, eğitim, savunma, perakende, finans, petrol, enerji ve sağlık sektörleri yer alıyor. Bölgesel odak Kolombiya olmakla birlikte, Ekvador, Şili, Panama ve Kuzey Amerika’daki İspanyolca konuşan kullanıcılar da saldırı kapsamına dahil ediliyor.
Dinamik DNS ve Meşru Hizmetlerin Kötüye Kullanımı
Blind Eagle, komuta kontrol altyapısında Kolombiyalı ISP IP adresleri, VPS ve VPN servislerini kullanırken, duckdns.org, ip-ddns.com ve noip.com gibi dinamik DNS sağlayıcılarıyla altyapısını güçlendiriyor. Ayrıca Bitbucket, Discord, Dropbox, GitHub, Google Drive gibi meşru platformları kötü amaçlı içerik gizlemek için hazırlık aşamasında kullanıyor. Saldırı zincirlerinde, oltalama tuzakları ve coğrafi sınırlandırma (geofencing) taktikleriyle hedefler manipüle ediliyor.
Teknik Detaylar ve Kötü Amaçlı Yazılım Dağıtımı
Kampanyalarda Visual Basic Script dropper’ları, çalışma zamanında dinamik oluşturulan PowerShell betikleriyle birlikte kullanılıyor. Bu betikler, Lime RAT, DCRat, AsyncRAT veya Remcos RAT gibi modülleri dış sunuculardan indiriyor. Ayrıca, SVG eki içeren dijital mesajlar Discord CDN üzerinden JavaScript yükü alıyor ve Paste.ee’den PowerShell betiği indirerek Internet Archive’da barındırılan JPG görüntüsünden gömülü .NET bileşenini çıkarıyor. Bu yöntemler, tespitten kaçınmak ve saldırıların sürekliliğini sağlamak amacıyla tercih ediliyor.
Blind Eagle’in Motivasyonları ve Bölgesel Etkisi
Grubun faaliyetlerinin yaklaşık %60’ı hükümet kurumlarını hedef alırken, finansal motivasyonların yanı sıra devlet destekli casusluk olasılığı da gündemde. TAG-144’ün kullandığı teknikler ve araçlar, bölgedeki yüksek başarı oranları nedeniyle uzun süredir tercih ediliyor. Recorded Future, grubun sadece finansal amaçlı mı yoksa daha karmaşık motivasyonlarla mı hareket ettiğine dair soruların devam ettiğini belirtiyor.