O grupo APT-C-36 passou a usar uma variante ligada ao comportamento da CVE-2024-43451 para sinalizar interações com arquivos maliciosos e entregar uma cadeia baseada em WebDAV, loader .NET, PureCrypter e Remcos RAT.
| Componente | Campanhas do APT-C-36, também conhecido como Blind Eagle, usando arquivos .url, WebDAV, HeartCrypt, loader .NET, variante aparente de PureCrypter e Remcos RAT. |
| Vetor | E-mails de phishing com links do Google Drive, arquivos compactados ou arquivos .url; o clique manual no .url aciona requisições WebDAV por HTTP na porta 80 para baixar o próximo estágio. |
| Impacto | Infecção por Remcos RAT em organizações colombianas públicas e privadas; uma campanha em torno de 19 de dezembro de 2024 registrou mais de 1.600 vítimas, e campanhas relacionadas somaram aproximadamente 9.000 infecções. |
| Prioridade | Aplicar a atualização da CVE-2024-43451, bloquear execução de .url não confiável, revisar tráfego WebDAV anômalo, caçar execução de csc.exe, MSBuild.exe e InstallUtil.exe como processos de injeção ou carga útil. |
| IoCs | republicadominica2025[.]ip-ddns[.]com, elyeso.ip-ddns[.]com:30204, 21ene.ip-ddns[.]com:30204, newstaticfreepoint24.ddns-ip.net:3020, 177[.]255[.]85[.]101, repositórios Oscarito20222/file e Oscarito20222/diciembre. |
| Artefatos | Campanha socialismo, versão 0.3.9, botnet redtube, mutex mono1234, User-Agent Microsoft-WebDAV-MiniRedir/10.0.19044. |
O APT-C-36, conhecido como Blind Eagle, manteve uma operação voltada principalmente contra organizações da Colômbia e de outros países latino-americanos, combinando espionagem e crime cibernético. A atividade descrita envolve alvos governamentais, instituições financeiras, infraestrutura crítica e, de forma recorrente, entidades públicas e privadas colombianas. O grupo está ativo desde 2018 e continua usando engenharia social como ponto de entrada, com e-mails de phishing que entregam anexos ou links maliciosos. A mudança mais relevante nas campanhas recentes é a adoção de arquivos .url inspirados no comportamento associado à CVE-2024-43451, além da ampliação da cadeia de malware com HeartCrypt, um loader .NET, uma variante aparente de PureCrypter e Remcos RAT como estágio final.
A CVE-2024-43451 foi corrigida pela Microsoft em 12 de novembro de 2024 e havia sido explorada como dia zero em ataques contra a Ucrânia. A vulnerabilidade original podia expor o hash NTLMv2 do usuário quando um arquivo .url especialmente criado era manipulado por ações incomuns, como clique com o botão direito, exclusão ou arrastar e soltar. A variante adotada pelo Blind Eagle seis dias após a atualização não preservava a parte de exposição do NTLMv2, mas mantinha valor operacional porque sinalizava ao operador que o arquivo havia sido baixado ou manipulado. Em sistemas vulneráveis, uma requisição WebDAV podia ocorrer antes de interação manual explícita; em sistemas corrigidos, esse comportamento anômalo deixa de ocorrer. O clique manual no arquivo, porém, continuava sendo suficiente para iniciar o download e a execução do payload seguinte.
A cadeia começa com mensagens de phishing distribuindo links, incluindo links do Google Drive possivelmente associados a contas comprometidas. Os arquivos entregues podiam aparecer como compactados ou como o próprio .url. O ícone configurado no arquivo era equivalente ao do navegador Edge, reduzindo a percepção visual de risco para o usuário. Quando o arquivo .url era construído com caminho UNC, o Windows tentava conexões SMB e, em seguida, WebDAV se SMB não estivesse disponível. Na variante usada pelo Blind Eagle, a inclusão da porta @80 evitava a tentativa SMB e direcionava a comunicação para HTTP, usando o User-Agent Microsoft-WebDAV-MiniRedir/10.0.19044. Isso permitia ao operador observar interação com o arquivo e, após clique manual, entregar o próximo estágio por WebDAV.
O executável baixado era protegido pelo HeartCrypt, descrito como Packer-as-a-Service usado para ofuscar malware e dificultar detecção. O HeartCrypt embutia o payload como recurso e, durante a execução, desempacotava um componente .NET simples, injetado e acionado dentro de csc.exe. O estágio subsequente carregava em memória um RAT .NET que aparentava ser uma variante de PureCrypter. Esse RAT coletava informações do ambiente, incluindo nome de usuário, versão do sistema operacional, nome e arquitetura do processo, antivírus instalado e outras características da máquina. Depois de descriptografar sua configuração embutida como recurso, o malware comunicava o identificador de campanha e o servidor de comando e controle.
Na campanha socialismo, o RAT .NET usava republicadominica2025[.]ip-ddns[.]com como C2 inicial. Após receber dados do usuário e da máquina, o servidor respondia com uma URL para baixar e executar o estágio final. Esse estágio vinha do repositório Oscarito20222/file no GitHub e era Remcos RAT, configurado com C2 elyeso.ip-ddns[.]com:30204 e botnet redtube. Os domínios do RAT intermediário e do Remcos resolviam para o mesmo endereço 177[.]255[.]85[.]101, também usado em múltiplos C2s de Remcos durante campanhas de janeiro e fevereiro. Em outra fase, o repositório Oscarito20222/diciembre, parado por mais de dois anos, voltou a ser atualizado em 25 de fevereiro de 2025 e passou a distribuir um novo Remcos com C2 21ene.ip-ddns[.]com:30204.
A superfície exposta concentra-se em estáções Windows de usuários que recebem e interagem com arquivos .url não confiáveis, especialmente em organizações colombianas do setor público, sistema de justiça, entidades financeiras, infraestrutura crítica e empresas privadas. A vulnerabilidade CVE-2024-43451 afetava todas as versões Windows suportadas no momento da divulgação, mas a técnica observada pelo Blind Eagle tem duas camadas distintas: a primeira depende de sistemas ainda vulneráveis para gerar a comunicação WebDAV sem interação manual comum; a segunda depende do clique no arquivo malicioso e pode ocorrer mesmo em máquinas corrigidas, porque o clique aciona o download e a execução do próximo estágio.
A operação também expôs risco em plataformas de hospedagem de código usadas como infraestrutura abusada. GitHub e Bitbucket foram utilizados para armazenar ou distribuir executáveis Remcos nas campanhas, enquanto servidores comprometidos também apareceram como origem de payloads finais em fases anteriores. A presença de múltiplos domínios apontando para o mesmo IP indica rotação nominal de C2 sem mudança equivalente de infraestrutura. Em paralelo, uma falha operacional do grupo deixou visível por cerca de 1 hora e 27 minutos um arquivo HTML chamado Ver Datos del Formulario.html, associado a atividade de phishing anterior. O conjunto chamado Datos del Formulario continha mais de 8.400 entradas, das quais 8.075 foram consideradas válidas após filtragem, incluindo pares de conta e senha, e 1.634 endereços de e-mail identificados.
- Estáções Windows que recebem arquivos
.urlpor e-mail, Google Drive, arquivos compactados ou links de compartilhamento devem ser tratadas como superfície de execução inicial. - Ambientes sem a atualização da
CVE-2024-43451ficam expostos ao comportamento anômalo de requisição WebDAV antes de interação manual comum com o arquivo. - Contas e repositórios usados para hospedar binários, como GitHub e Bitbucket, podem aparecer em telemetria como origem aparentemente legítima do estágio final.
- Organizações colombianas ligadas ao setor público, sistema de justiça, finanças e infraestrutura crítica aparecem como alvos recorrentes nas campanhas descritas.
A caça deve começar por e-mail, proxy, EDR e telemetria de execução de arquivos. Mensagens com links para Google Drive que entregam .url, arquivos compactados ou nomes relacionados a instituições governamentais colombianas merecem correlação com eventos de download, criação de arquivo e execução. Em endpoints, o evento-chave é a abertura de .url que gera tráfego WebDAV por HTTP para porta 80, especialmente quando o User-Agent é Microsoft-WebDAV-MiniRedir/10.0.19044. Em máquinas sem atualização, também é relevante procurar requisições WebDAV acionadas por interação incomum com arquivo, mesmo sem execução manual direta. Em máquinas corrigidas, o sinal mais importante passa a ser o clique seguido de download do binário e criação de processos ligados à cadeia .NET.
No endpoint, csc.exe deve ser monitorado quando aparecer fora do fluxo esperado de compilação, especialmente se houver injeção, execução a partir de diretórios de usuário, relação temporal com download via WebDAV ou carregamento de assemblies .NET ofuscados. A etapa posterior pode envolver injeção ou execução em MSBuild.exe ou InstallUtil.exe, conforme a resposta recebida do C2. A configuração do RAT intermediário inclui dados serializados com protobuf e comunicação cifrada com AES, usando chave derivada por Rfc2898DeriveBytes com senha baseada no mutex mono1234 e salt { 1, 2, 23, 234, 37, 48, 134, 63, 248, 4 }. Esses detalhes ajudam analistas de malware a validar amostras e construir detecções comportamentais sem depender apenas de nomes de arquivo.
Na rede, os domínios e endereços observados devem ser correlacionados com downloads de GitHub, Bitbucket e servidores externos logo após interação do usuário com .url. O C2 republicadominica2025[.]ip-ddns[.]com aparece associado ao RAT .NET da campanha socialismo, enquanto elyeso.ip-ddns[.]com:30204 aparece como C2 do Remcos final. A campanha PARAISO usou newstaticfreepoint24.ddns-ip.net:3020 e registrou mais de 1.600 infecções, com aproximadamente 9.000 infecções no conjunto de campanhas ao longo de mais de uma semana. A presença de commits em fuso -0500 é um dado operacional observado, mas não deve ser tratado isoladamente como prova suficiente de origem do operador.
- Criação, download ou abertura de arquivos
.urlrecebidos por e-mail ou compartilhamento em nuvem, especialmente quando seguidos de tráfego WebDAV por HTTP. - Processos
csc.exe,MSBuild.exeouInstallUtil.exeiniciados em sequência próxima a downloads de arquivos.urlou binários ofuscados. - Conexões para
republicadominica2025[.]ip-ddns[.]com,elyeso.ip-ddns[.]com:30204,21ene.ip-ddns[.]com:30204,newstaticfreepoint24.ddns-ip.net:3020ou177[.]255[.]85[.]101. - Downloads de executáveis a partir dos repositórios
Oscarito20222/fileeOscarito20222/diciembreem estáções de usuário sem justificativa operacional. - Artefatos de configuração contendo campanha
socialismo, versão0.3.9, botnetredtubeou mutexmono1234.
A resposta deve priorizar a atualização de sistemas Windows contra a CVE-2024-43451, porque a correção remove o comportamento anômalo que permitia requisições WebDAV antes de interação manual comum. A atualização, porém, não elimina o risco de engenharia social: se o usuário clicar no .url, a cadeia pode baixar e executar o payload seguinte. Por isso, a mitigação precisa combinar correção do sistema operacional, controle de tipos de arquivo, bloqueio de execução a partir de zonas não confiáveis, inspeção de links de compartilhamento em nuvem e regras de detecção para WebDAV incomum. Onde possível, arquivos .url vindos de e-mail ou armazenamento externo devem ser bloqueados, colocados em quarentena ou abertos apenas em ambiente isolado.
Em ambientes corporativos, a contenção deve incluir bloqueio ou alerta para WebDAV externo não esperado, revisão de tráfego HTTP com User-Agent Microsoft-WebDAV-MiniRedir/10.0.19044, validação de execução de csc.exe, MSBuild.exe e InstallUtil.exe, e bloqueio de C2s conhecidos. Se houver evidência de execução do Remcos RAT, a máquina deve ser isolada, credenciais do usuário devem ser redefinidas conforme exposição real, sessões ativas devem ser revogadas e persistências por tarefas agendadas devem ser verificadas. Como o RAT intermediário pode executar scripts PowerShell, baixar payload em disco ou manter persistência, a análise deve cobrir eventos PowerShell, criação de tarefas e carregamento de assemblies em memória.
A etapa de erradicação deve remover binários baixados, arquivos .url, tarefas agendadas, chaves ou artefatos de persistência observados e qualquer payload Remcos identificado. Depois, é necessário validar se houve comunicação com os C2s citados e se o endpoint enviou dados de usuário e máquina ao RAT intermediário. Em organizações que possam estar dentro do perfil de alvo colombiano, a revisão deve incluir caixas de e-mail, contas de Google Drive usadas para envio, downloads de GitHub e Bitbucket, e alertas de EDR relacionados a execução .NET ofuscada. O objetivo defensivo não é apenas bloquear um domínio, mas interromper o fluxo completo: phishing, abertura de .url, WebDAV, execução de binário HeartCrypt, injeção em processo legítimo, comunicação do RAT intermediário e download do Remcos.
- Aplicar a atualização da
CVE-2024-43451em todas as versões Windows suportadas e verificar cobertura em estáções de usuário. - Bloquear ou quarentenar arquivos
.urlrecebidos por e-mail, links externos ou compartilhamentos de nuvem quando não houver necessidade operacional clara. - Criar detecções para WebDAV externo por HTTP na porta
80e para o User-AgentMicrosoft-WebDAV-MiniRedir/10.0.19044fora de fluxos conhecidos. - Monitorar
csc.exe,MSBuild.exeeInstallUtil.exepara execução anômala, injeção, carregamento de assemblies e relação temporal com downloads recentes. - Bloquear os IoCs conhecidos e revisar histórico de conexões para identificar máquinas que possam ter recebido o RAT intermediário ou o Remcos final.
- Investigar e remover persistência por tarefas agendadas quando houver indício de execução da variante
.NETassociada à cadeia.
0 Comentários