Pesquisadores de cibersegurança identificaram cinco grupos de atividades associados ao ator de ameaça persistente conhecido como Blind Eagle, que operou entre maio de 2024 e julho de 2025, principalmente visando entidades do governo colombiano. A empresa Recorded Future Insikt Group, que monitora essas atividades sob a designação TAG-144, observou que os ataques utilizam técnicas como trojans de acesso remoto (RATs) e engenharia social via phishing. Os alvos incluem autoridades judiciais e fiscais, além de setores como finanças, energia e saúde. Os ataques frequentemente utilizam e-mails fraudulentos que imitam agências governamentais locais, levando as vítimas a abrir documentos maliciosos. A infraestrutura de comando e controle do grupo é complexa, utilizando endereços IP de provedores colombianos e serviços de DNS dinâmico para ocultar suas operações. Recentemente, o grupo tem utilizado scripts em PowerShell para implantar RATs como Lime RAT e AsyncRAT. A análise indica que cerca de 60% das atividades do Blind Eagle focaram no setor governamental, levantando questões sobre suas motivações, que podem incluir espionagem estatal além de objetivos financeiros.
