كشف باحثو الأمن السيبراني عن خمس حملات هجومية مميزة مرتبطة بمجموعة التهديد المستمر المعروفة باسم Blind Eagle، وذلك خلال الفترة بين مايو 2024 ويوليو 2025، حيث ركزت هذه الأنشطة في معظمها على استهداف مؤسسات حكومية في كولومبيا على المستويات المحلي والبلدي والفيدرالي. وتتابع شركة Recorded Future التابعة لماستركارد هذه الأنشطة تحت التسمية TAG-144.
أساليب الهجوم والبنية التحتية المستخدمة
تشترك الحملات الخمس في الاعتماد على تقنيات متشابهة مثل استغلال أحصنة طروادة للتحكم عن بعد (RATs) مفتوحة المصدر أو مُقرصَنة، وخدمات النطاقات الديناميكية، إضافة إلى استغلال خدمات الإنترنت الشرعية في نشر البرمجيات الخبيثة. غير أن كل حملة تميزت ببنية تحتية وأدوات مختلفة.
وقد ركزت المجموعة منذ عام 2018 على استهداف منظمات في أمريكا الجنوبية، سواء بدوافع تجسس سيبراني أو بدوافع مالية، مثل سرقة بيانات البنوك عبر تسجيل ضغطات لوحة المفاتيح ومراقبة المتصفحات.
الجهات المستهدفة والتقنيات المتبعة
شملت الهجمات جهات حكومية، سلطات قضائية وهيئات ضريبية، إضافة إلى قطاعات المال والطاقة والتعليم والصحة والتصنيع والخدمات. وامتدت العمليات إلى كولومبيا والإكوادور وتشيلي وبنما، ووصلت في بعض الحالات إلى مستخدمين ناطقين بالإسبانية في أمريكا الشمالية.
اعتمدت سلاسل الهجوم على رسائل تصيّد موجّه تتظاهر بأنها صادرة عن جهات حكومية محلية، متضمنة روابط خبيثة مخفية عبر خدمات تقصير الروابط مثل cort[.]as وacortaurl[.]com. كما استخدمت المجموعة حسابات بريدية مخترقة لنشر الرسائل، مع تقنيات جغرافية لإعادة توجيه المستخدمين إلى مواقع حكومية شرعية في حال محاولة الوصول من خارج كولومبيا أو الإكوادور.
البنية التحتية والسيطرة
أوضحت Recorded Future أن بنية التحكم والسيطرة (C2) الخاصة بالمجموعة اعتمدت على عناوين IP من مزوّدي خدمة الإنترنت في كولومبيا، إلى جانب خوادم افتراضية مثل Proton666 وخدمات VPN كـ FrootVPN وTorGuard. كما لجأت إلى خدمات DNS ديناميكية مثل duckdns[.]org وnoip[.]com.
كذلك استغلت المجموعة خدمات إنترنت شرعية مثل Dropbox وGoogle Drive وGitHub وDiscord وحتى Internet Archive لإخفاء البرمجيات الخبيثة وتجاوز أنظمة الكشف.
أبرز الحملات المكتشفة
رصد الباحثون خمس حملات أساسية:
-
الحملة الأولى (فبراير – يوليو 2025): استهدفت حصراً مؤسسات حكومية كولومبية مستخدمة DCRat وAsyncRAT وRemcos RAT.
-
الحملة الثانية (سبتمبر – ديسمبر 2024): استهدفت كيانات حكومية وقطاعات التعليم والدفاع والتجزئة مستخدمة AsyncRAT وXWorm.
-
الحملة الثالثة (سبتمبر 2024 – يوليو 2025): اعتمدت على AsyncRAT وRemcos RAT.
-
الحملة الرابعة (مايو 2024 – فبراير 2025): تضمنت بنية تصيّد انتحلت مواقع بنوك كبرى مثل Bancolombia وBBVA.
-
الحملة الخامسة (مارس – يوليو 2025): استخدمت Lime RAT ونسخة مقرصَنة من AsyncRAT.
كما تضمنت بعض الرسائل مرفقات بصيغة SVG تتصل بخوادم Discord لتنزيل ملفات JavaScript، والتي تستدعي بدورها سكربت PowerShell من Paste.ee لتنفيذ حمولة خبيثة مضمّنة داخل صورة JPG محفوظة في Internet Archive.
ارتباطات بجهات تهديد أخرى
التحقيقات أظهرت أن النسخة المقرصَنة من AsyncRAT التي استخدمتها Blind Eagle قد شوهدت سابقاً لدى مجموعات تهديد أخرى مثل Red Akodon وShadow Vector، وكلاهما استهدف كولومبيا في العام الماضي.
وأشارت النتائج إلى أن نحو 60% من أنشطة Blind Eagle خلال فترة الدراسة استهدفت القطاع الحكومي، تلاه التعليم والصحة والتجزئة والنقل والدفاع والطاقة، مع استمرار التركيز الأكبر على كولومبيا رغم وجود مؤشرات على نشاطات في دول مجاورة أو بين مستخدمين ناطقين بالإسبانية في الولايات المتحدة.
دوافع غامضة بين المال والتجسس
ورغم الطابع المالي الواضح لبعض الحملات، فإن استمرار الاستهداف الحكومي يثير تساؤلات حول طبيعة الدوافع الحقيقية، وما إذا كانت Blind Eagle مجرد مجموعة إجرامية تعتمد على أدوات تقليدية لتحقيق مكاسب مالية، أم أن نشاطها يحمل أيضاً أبعاداً مرتبطة بعمليات تجسس سيبراني ترعاها جهات دولية.
