APTs en Latinoamérica: Blind Eagle, Machete y el Panorama Regional

Latinoamérica es un teatro de operaciones cibernéticas activo pero crónicamente infrarreportado en la literatura CTI global

Cuando se habla de APTs, la conversación se centra en los "Big Four" (Rusia, China, Irán, Corea del Norte). Pero Latinoamérica tiene su propio ecosistema de amenazas persistentes: grupos de espionaje con targeting gubernamental y militar, una industria de troyanos bancarios brasileños que rivaliza en sofisticación con el crimeware ruso, y APTs foráneos que operan activamente en la región aprovechando la menor madurez de los equipos de defensa. Este artículo mapea los actores principales, sus técnicas y las particularidades que hacen del contexto LATAM un entorno único para la ciberdefensa.

Panorama regional: qué hace diferente a LATAM

El ecosistema de amenazas en Latinoamérica tiene características propias que lo distinguen de otras regiones:

• Ingeniería social contextualizada. Los atacantes explotan trámites fiscales (DIAN en Colombia, SAT en México, SII en Chile, SUNAT en Perú), notificaciones judiciales, citaciones de tránsito y comunicaciones de entidades gubernamentales. El phishing es extremadamente efectivo porque replica procesos burocráticos reales que los ciudadanos reconocen.

• Abuso de infraestructura cloud legítima. Google Drive, Discord, Pastebin, Bitbucket y servicios similares se usan como C2 o como staging de payloads. Esto dificulta la detección porque el tráfico hacia estos dominios es habitual en cualquier organización.

• Menor inversión en ciberdefensa. Muchos gobiernos y empresas de la región operan con presupuestos de seguridad limitados, equipos SOC pequeños y baja adopción de EDR avanzados. Esto permite que técnicas relativamente simples sigan siendo efectivas.

• Ecosistema de crimeware propio. Brasil ha desarrollado una industria de troyanos bancarios que opera con estructura empresarial: desarrollo, distribución, mulas de dinero y soporte técnico. Estos troyanos (Astaroth, Grandoreiro, Casbaneiro) se han expandido a España, Portugal e Italia.

• Baja atribución pública. Pocos vendors y CERTs de la región publican reportes de atribución detallados, lo que genera un gap de visibilidad respecto a otras regiones.

Blind Eagle (APT-C-36): el grupo más activo de la región

Blind Eagle es el grupo APT más documentado con presunto origen en Latinoamérica. Identificado inicialmente por Qihoo 360 en 2018, ha mantenido operaciones continuas contra objetivos gubernamentales, financieros y de infraestructura crítica, principalmente en Colombia pero con expansión a Ecuador, Chile, España y otros países hispanohablantes.

Ficha del grupo

Campo	Detalle
Nombres	APT-C-36, Blind Eagle
Atribución	Presuntamente colombiano (no confirmado por gobierno)
Motivación	Espionaje gubernamental, financiero
Activo desde	2018 (primera documentación pública)
Nivel	Tier 2: herramientas commodity + buena ingeniería social
Sectores	Gobierno, finanzas, energía, salud, educación
Regiones objetivo	Colombia, Ecuador, Chile, España, Panamá

Cadena de infección típica

FASE 1: SPEARPHISHING (email con lure fiscal/judicial)
  - Suplantación de DIAN (Colombia), SRI (Ecuador), SII (Chile)
  - Asunto: "Embargo de cuentas", "Citación judicial", "Declaración pendiente"
  - Adjunto: PDF con enlace o archivo comprimido (.rar, .uue)

FASE 2: DROPPER
  - Archivo comprimido con executable disfrazado (.exe con icono de PDF)
  - Scripts VBS/PowerShell ofuscados
  - DLL side-loading usando ejecutables legítimos firmados

FASE 3: RAT DEPLOYMENT
  - njRAT, AsyncRAT, Remcos RAT (herramientas commodity)
  - LimeRAT en campañas más recientes
  - Quasar RAT en operaciones contra Ecuador

FASE 4: C2 Y EXFILTRACIÓN
  - C2 vía Dynamic DNS (DuckDNS, No-IP)
  - Staging en Google Drive, Bitbucket, Discord CDN
  - Pastebin/paste.ee para configuración de C2
  - Exfiltración a servidores controlados (VPS en LATAM y EEUU)

Campañas documentadas relevantes

2023: Operación contra gobierno colombiano. Phishing masivo suplantando la DIAN con notificaciones de embargo. El payload era njRAT distribuido a través de archivos .rar con doble extensión. C2 en servidores DuckDNS.

2024: Expansión a Ecuador y Chile. Blind Eagle adaptó sus lures a la autoridad tributaria ecuatoriana (SRI) y chilena (SII). La cadena de infección incorporó AsyncRAT y nuevas técnicas de evasión con archivos .uue (codificación UUEncode) para evadir detecciones de gateway email.

2025: Targeting financiero en Colombia. Campañas contra bancos y entidades financieras colombianas usando Remcos RAT con técnicas de inyección de proceso más sofisticadas y C2 cifrado.

TTPs MITRE ATT&CK

Táctica	Técnica	Detalle Blind Eagle
Initial Access	T1566.001 Spearphishing Attachment	PDFs, .rar, .uue con ejecutables
Execution	T1059.001 PowerShell	Scripts ofuscados para descarga de RAT
Execution	T1204.002 Malicious File	Doble extensión (.pdf.exe)
Persistence	T1547.001 Registry Run Keys	AutoRun para RATs
Defense Evasion	T1027 Obfuscated Files	Codificación UUEncode, Base64
Defense Evasion	T1574.002 DLL Side-Loading	Ejecutables legítimos firmados
C2	T1102 Web Service	Google Drive, Discord, Pastebin
C2	T1071.001 Application Layer Protocol	HTTP/S hacia DuckDNS
Exfiltration	T1041 Exfiltration Over C2 Channel	Datos vía canal RAT

Machete: espionaje militar y gubernamental en los Andes

Machete es un grupo de espionaje activo desde al menos 2010, con foco en instituciones militares y gubernamentales de Venezuela, Ecuador, Colombia y otros países andinos. Documentado por Kaspersky en 2014 y posteriormente por ESET, Machete destaca por sus operaciones de larga duración contra objetivos de alto valor.

Ficha del grupo

Campo	Detalle
Nombres	Machete, APT-C-43 (según algunas taxonomías), El Machete
Atribución	Presuntamente hispanohablante (código y comentarios en español)
Motivación	Espionaje militar, político, diplomático
Activo desde	2010 (posiblemente antes)
Nivel	Tier 2: tools custom en Python, buen OPSEC operacional
Sectores	Militar, gobierno, diplomacia, energía
Regiones objetivo	Venezuela, Ecuador, Colombia, Nicaragua, Bolivia

Herramientas y capacidades

A diferencia de Blind Eagle, Machete desarrolla tooling custom:

• Machete backdoor. Escrita en Python (compilada con py2exe o PyInstaller). Captura de pantalla, keylogging, clipboard monitoring, exfiltración de documentos por extensión (.doc, .xls, .pdf, .ppt, .odt).

• Filtrado geográfico. El malware verifica la localización del target (idioma del sistema, timezone, IP geográfica) y solo se activa en países objetivo. Esto reduce la detección por sandboxes ubicadas fuera de la región.

• USB propagation. Capacidad de copiarse a dispositivos USB conectados, creando archivos .lnk que ejecutan el payload. Técnica efectiva en entornos militares donde los USB son vector común de transferencia de documentos.

• Exfiltración selectiva. El malware busca documentos con palabras clave militares y gubernamentales en español: "confidencial", "secreto", "operativo", "inteligencia", "ministerio", "ejército".

Campañas documentadas

2014 (Kaspersky report). Primera documentación pública. Más de 700 víctimas confirmadas en Venezuela, Ecuador y Colombia. Sectores: militar, embajadas, agencias de inteligencia.

2019 (ESET report). Campaña activa contra fuerzas militares venezolanas y ecuatorianas. Phishing con documentos que suplantaban comunicaciones internas del ejército. El backdoor actualizó su infraestructura pero mantuvo la base de código Python.

2022-2024. Operaciones con menor visibilidad pública pero indicadores de actividad continuada. ESET y Kaspersky reportaron muestras con actualizaciones del backdoor y nuevos dominios C2.

Troyanos bancarios brasileños: crimeware con escala industrial

Brasil ha producido una familia de troyanos bancarios que constituyen una amenaza regional (y global) por derecho propio. Aunque no se clasifican como APTs en el sentido estricto de espionaje estatal, su persistencia, sofisticación y estructura organizativa los convierten en actores de amenaza de primer nivel.

Astaroth/Guildma

• Tipo. Banking trojan con capacidades de infostealer.
• Origen. Brasil, activo desde 2017.
• Técnica principal. Abuso de LOLBins (BITSAdmin, certutil, mshta) para descarga y ejecución. Inyección en procesos del sistema.
• Targeting. Bancos brasileños inicialmente, expandido a España, Portugal, México, Argentina.
• Evasión. Uso extensivo de técnicas living-off-the-land. El malware usa componentes legítimos del sistema operativo para toda la cadena de infección, minimizando la huella en disco.

Grandoreiro

• Tipo. Banking trojan con overlay attacks.
• Origen. Brasil, activo desde 2016.
• Técnica principal. Overlay de ventanas falsas sobre el navegador cuando el usuario accede a banca online. Captura credenciales en tiempo real.
• Expansión global. En 2024, Grandoreiro fue objeto de una operación policial coordinada por Interpol y la Policía Federal brasileña. Pese a las detenciones, el malware sigue activo con nuevas variantes.
• Escala. Más de 900 instituciones financieras objetivo en más de 40 países.

Casbaneiro (Metamorfo)

• Tipo. Banking trojan con capacidades de criptoclipping.
• Origen. Brasil, activo desde 2018.
• Técnica principal. Monitorización del clipboard para reemplazar direcciones de criptomonedas. Overlay attacks contra bancos.
• C2. Uso de YouTube y otras plataformas para almacenar URLs de C2 cifradas en descripciones de videos.
• Targeting. Brasil y México como objetivos principales, con expansión a España.

Patrón común de distribución

Los tres comparten un modelo de distribución similar:

1. SPAM MASIVO
   - Email con factura falsa, boleto bancario, nota fiscal
   - Adjunto: .zip/.msi o enlace a servidor de descarga

2. CADENA DE LOADERS
   - MSI → VBS → PowerShell → DLL final
   - Múltiples etapas para evadir detección
   - Cada etapa valida geolocalización

3. PERSISTENCIA
   - Registry Run Keys + Scheduled Tasks
   - DLL side-loading con componentes legítimos

4. OVERLAY ATTACK
   - Detecta navegación a portal bancario
   - Superpone ventana idéntica al sitio real
   - Captura credenciales y tokens 2FA

5. MONETIZACIÓN
   - Transferencias bancarias vía PIX/TED
   - Criptoclipping (BTC, ETH)
   - Red de mulas de dinero

APTs externos operando en Latinoamérica

La región no solo genera amenazas propias. Varios APTs de otros orígenes operan activamente en LATAM:

Lazarus Group (DPRK) en LATAM

• Objetivo. Exchanges de criptomonedas, fintechs, bancos.
• Motivación. Robo financiero para financiar el programa nuclear norcoreano.
• Casos documentados. Ataque a Bancomext (México, 2018) intentando transferir 110 millones USD vía SWIFT. Operaciones contra exchanges de criptomonedas en Chile, Argentina y Brasil.
• Técnica. Spearphishing con ofertas de empleo falsas (operación Dream Job), supply chain attacks contra software financiero.

APT28 (GRU/Rusia) en LATAM

• Objetivo. Embajadas, ministerios de relaciones exteriores, organizaciones internacionales con sede en la región.
• Motivación. Espionaje geopolítico.
• Casos documentados. Campañas de phishing contra diplomáticos en Brasil, Argentina y México. Uso de infraestructura C2 con dominios que simulan servicios gubernamentales latinoamericanos.

Grupos chinos (varios) en LATAM

• Objetivo. Sector energético, minería, telecomunicaciones, infraestructura portuaria.
• Motivación. Espionaje económico e inteligencia estratégica vinculada a inversiones Belt and Road Initiative.
• Casos documentados. Operaciones contra empresas de litio en Chile y Argentina. Espionaje a operadores de telecomunicaciones en Brasil y México.

Técnicas ATT&CK predominantes en la región

Técnica	ID MITRE	Frecuencia en LATAM	Contexto regional
Spearphishing Attachment	T1566.001	Muy alta	Lures fiscales/judiciales locales
Spearphishing Link	T1566.002	Alta	URLs a Google Drive, Bitbucket, Discord
PowerShell	T1059.001	Muy alta	Downloaders y loaders ofuscados
Visual Basic	T1059.005	Alta	Scripts VBS en cadenas de infección
Malicious File	T1204.002	Muy alta	.rar, .uue, doble extensión
Registry Run Keys	T1547.001	Muy alta	Persistencia de RATs y bankers
DLL Side-Loading	T1574.002	Alta	Ejecutables legítimos firmados
Obfuscated Files	T1027	Muy alta	Base64, UUEncode, custom packers
Web Service (C2)	T1102	Alta	Google Drive, Discord, Pastebin
Screen Capture	T1113	Alta	Machete, RATs commodity
Clipboard Data	T1115	Alta	Criptoclipping en bankers brasileños
Input Capture (Keylogging)	T1056.001	Alta	RATs y banking trojans
Ingress Tool Transfer	T1105	Muy alta	Descarga de stages posteriores
System Checks (Geo)	T1497	Alta	Verificación de idioma/timezone/GeoIP

Particularidades del contexto LATAM para la ciberdefensa

Phishing fiscal como vector dominante

El phishing con temática fiscal es el vector de entrada más efectivo en la región. Las autoridades tributarias de cada país tienen procedimientos burocráticos complejos que generan ansiedad en los contribuyentes, lo que los atacantes explotan con precisión:

País	Entidad suplantada	Temáticas frecuentes
Colombia	DIAN, RUNT, Rama Judicial	Embargo, multas, citaciones
México	SAT, CFE, IMSS	Declaraciones, facturas, CFDI
Brasil	Receita Federal, Serasa	CPF irregular, boletos, notas fiscais
Chile	SII, Tesorería General	Devolución de impuestos, deuda fiscal
Perú	SUNAT, PNP	Obligaciones tributarias, denuncias
Ecuador	SRI, Fiscalía	Procesos judiciales, obligaciones
Argentina	AFIP, ANSES	Monotributo, AUH, notificaciones

Overlay attacks: la especialidad brasileña

Los overlay attacks son una técnica donde el malware detecta que el usuario navega a un portal de banca online y superpone una ventana idéntica al sitio real. Esta técnica es particularmente efectiva en LATAM porque:

1. Alta adopción de banca online en la región (Brasil lidera con PIX).
2. Muchos bancos aún dependen de autenticación por SMS/token simple.
3. Los overlays capturan no solo credenciales sino también tokens 2FA en tiempo real.
4. Las transferencias instantáneas (PIX en Brasil, SPEI en México) permiten monetización inmediata.

Cloud C2: abuso de servicios legítimos

El uso de servicios cloud como infraestructura de comando y control es un patrón dominante en LATAM por razones prácticas:

• Google Drive/Docs. Almacenar configuración de C2 en documentos públicos. El tráfico a google.com no se bloquea.
• Discord CDN. Hosting de payloads en canales de Discord. URLs cdn.discordapp.com rara vez se filtran.
• Pastebin/paste.ee. Configuración de RATs almacenada en pastes públicos, a veces cifrada.
• Bitbucket/GitHub. Repositorios temporales con payloads que se eliminan tras las campañas.
• YouTube. Casbaneiro almacena URLs de C2 cifradas en descripciones de videos.

CERTs y capacidad de respuesta regional

La capacidad de respuesta a incidentes en LATAM ha mejorado significativamente en la última década, aunque persisten brechas importantes:

CERTs/CSIRTs activos

País	CERT/CSIRT	Capacidad	Publicaciones CTI
Brasil	CERT.br (NIC.br)	Alta	Estadísticas regulares, feeds de IOCs
Colombia	ColCERT, CSIRT PONAL	Media-Alta	Alertas de Blind Eagle, boletines
Chile	CSIRT Gobierno	Media-Alta	Reportes de incidentes, guías
México	CERT-MX (GN)	Media	Alertas generales, coordinación
Argentina	CERT.ar (ICIC)	Media	Reportes de vulnerabilidades
Perú	PeCERT	Media-Baja	Alertas reactivas
Ecuador	EcuCERT	Baja-Media	Limitado

Iniciativas regionales

• OEA/CICTE. Programa de ciberseguridad para las Américas. Capacitación y ejercicios regionales.
• LACNIC WARP. Warning, Advice and Reporting Point para la comunidad de operadores de red en LATAM.
• FIRST. Varios CERTs latinoamericanos son miembros de FIRST, lo que facilita el intercambio de inteligencia.
• CSIRT Américas. Red de CSIRTs gubernamentales de la región para coordinación de incidentes.

Detección adaptada al contexto LATAM

Para equipos de defensa que operan en Latinoamérica, la detección debe considerar las particularidades regionales:

Indicadores de red

# Dominios Dynamic DNS frecuentes en C2 de Blind Eagle
*.duckdns.org
*.no-ip.org
*.ddns.net
*.hopto.org

# Servicios cloud abusados (monitorizar anomalías, no bloquear)
drive.google.com/uc?export=download&id=*
cdn.discordapp.com/attachments/*
paste.ee/r/*
raw.githubusercontent.com/*/main/*.exe

# User-agents sospechosos de RATs commodity
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; njRAT)

Reglas YARA (ejemplo para lures fiscales LATAM)

rule LATAM_Fiscal_Lure_Document
{
    meta:
        description = "Detecta documentos con temática fiscal LATAM"
        author = "MalwareIntel Research"
        date = "2026-06-05"

    strings:
        $dian = "DIAN" ascii wide nocase
        $sat = "Servicio de Administracion Tributaria" ascii wide nocase
        $sii = "Servicio de Impuestos Internos" ascii wide nocase
        $sunat = "SUNAT" ascii wide nocase
        $sri = "Servicio de Rentas Internas" ascii wide nocase
        $embargo = "embargo" ascii wide nocase
        $citacion = "citacion judicial" ascii wide nocase
        $obligacion = "obligacion tributaria" ascii wide nocase

        $ole = {D0 CF 11 E0}
        $pdf = "%PDF"
        $zip = {50 4B 03 04}

    condition:
        ($ole or $pdf or $zip) and
        2 of ($dian, $sat, $sii, $sunat, $sri, $embargo, $citacion, $obligacion)
}

Sigma rules (detección de comportamiento)

title: Suspicious UUEncode File Execution (Blind Eagle TTP)
status: experimental
logsource:
    category: process_creation
    product: windows
description: Detecta ejecución de archivos .uue, técnica usada por Blind Eagle
detection:
    selection:
        CommandLine|contains:
            - '.uue'
            - 'uuencode'
    condition: selection
level: high
tags:
    - attack.execution
    - attack.t1204.002

title: Banking Trojan Overlay Indicators
status: experimental
logsource:
    category: process_creation
    product: windows
description: Detecta patrones de overlay attack de troyanos bancarios LATAM
detection:
    selection_process:
        ParentImage|endswith:
            - '\mshta.exe'
            - '\wscript.exe'
            - '\cscript.exe'
    selection_behavior:
        CommandLine|contains:
            - 'bitsadmin'
            - 'certutil -urlcache'
            - 'certutil -decode'
    condition: selection_process or selection_behavior
level: medium
tags:
    - attack.execution
    - attack.defense_evasion
    - attack.t1218

Recursos y referencias

Reportes fundamentales

• Qihoo 360 (2018). "Blind Eagle: APT-C-36 targets Colombian government institutions." Primera documentación pública del grupo.
• ESET (2019). "Machete's attacks in Latin America." Análisis detallado del backdoor Python y operaciones militares.
• Kaspersky (2014). "The Machete." Primer reporte público del grupo, con análisis de 700+ víctimas.
• Check Point (2023). "Blind Eagle targeting Colombian organizations with commodity RATs." Campañas con njRAT y AsyncRAT.
• ESET (2020-2024). Serie de reportes sobre troyanos bancarios brasileños: Astaroth, Grandoreiro, Casbaneiro, Mekotio, Amavaldo.
• Trend Micro (2024). "The state of cyber threats in Latin America." Panorama regional actualizado.

Feeds de inteligencia con cobertura LATAM

• OTX AlienVault. Pulsos específicos de Blind Eagle, Machete y banking trojans brasileños.
• MalwareBazaar (abuse.ch). Tags: blind_eagle, grandoreiro, astaroth, casbaneiro.
• MISP CIRCL. Eventos de CERTs latinoamericanos (ColCERT, CERT.br).
• Malpedia. Perfiles de familias de malware con cobertura de banking trojans brasileños.

Para profundizar

• MITRE ATT&CK, sección Groups: buscar por región "South America" y "Central America."
• CERT.br estadísticas: cert.br/stats para datos de incidentes en Brasil.
• ColCERT boletines: alertas específicas de campañas de Blind Eagle en Colombia.
• OEA/CICTE reportes anuales de ciberseguridad en las Américas.

Latinoamérica es un campo de batalla cibernético con reglas propias. Entender el contexto regional (trámites fiscales como vector, overlay attacks, cloud C2, crimeware brasileño) es fundamental para construir defensas efectivas en la región. Los equipos SOC que operan en LATAM necesitan reglas de detección adaptadas, inteligencia de amenazas con foco regional y colaboración con los CERTs locales para una respuesta coordinada.