TAG-144：攻击者以新战术、技术和程序针对政府实体

被称为TAG-144的威胁行为者（也称为Blind Eagle或APT-C-36）已被关联到五个不同的活动集群，这些集群在2024年5月至2025年7月期间运作，主要针对地方、市政和联邦级别的哥伦比亚政府实体。

这个至少自2018年以来活跃的网络威胁组织，采用复杂的网络间谍和经济动机战术组合，专注于通过商品化远程访问木马（RAT）进行凭证窃取和监控，如AsyncRAT、DcRAT、REMCOS RAT、XWorm和LimeRAT。

这些集群展示了重叠但多变的战术、技术和程序（TTPs），包括利用合法互联网服务（LIS）如Discord、GitHub和Archive.org进行载荷准备的多阶段感染链，以及使用隐写术将恶意代码嵌入图像文件以规避检测。

基础设施分析显示广泛使用虚拟专用服务器（VPS）、哥伦比亚ISP IP地址和动态DNS提供商如duckdns.org和noip.com，部分集群还整合了TorGuard等VPN服务以隐藏命令与控制（C2）操作。

受害者数据显示重点集中在政府机构，同时侵入教育、医疗和能源等其他部门，凸显了TAG-144对南美地区，特别是哥伦比亚、厄瓜多尔、智利和巴拿马的区域关注。

恶意软件部署策略

TAG-144的操作韧性体现在其各集群的差异化上，每个集群都配备了独特的基础设施和部署方法，同时保持核心TTPs。

例如，集群1（2025年2月至7月活跃）依赖TorGuard VPN服务器和静态duckdns.org域名，采用类似域名生成算法（DGA）的命名模式，如"envio16-05.duckdns.org"，以部署DcRAT、AsyncRAT和REMCOS RAT。

该集群引入了新的LIS滥用方式，包括免费托管平台lovestoblog.com，其中编码的PowerShell脚本从Archive.org上的JPG图像中获取隐写隐藏的载荷，通常伴随葡萄牙语评论，暗示可能与巴西网络犯罪生态系统存在合作或代码重用。

集群2（2024年9月至12月）整合了AS-COLOCROSSING和VULTR托管以及西班牙主题域名如"pesosdepesoslibras.duckdns.org"，并部署来自Telegram频道的破解AsyncRAT变种，导致政府、教育、国防和零售部门感染。

同时，集群3利用哥伦比亚ISP UNE EPM进行AsyncRAT和REMCOS部署，集群4将恶意软件与冒充Bancolombia等银行的钓鱼基础设施结合，集群5使用GLESYS托管用于LimeRAT和动态域名。

与集群4相关的钓鱼页面基础设施重叠，如共享IP解析和受害者通信，确认这些集群是TAG-144活动中相互关联的方面。

通过与威胁行为者Red Akodon的进一步联系，包括共享的GitHub存储库和在鱼叉式网络钓鱼中使用的被黑政府电子邮件账户，突显了TAG-144适应性生态系统，将开源工具与HeartCrypt等加密器及地理围栏混合使用，以限制目标区域外的访问。

为应对TAG-144的威胁，建议安全团队实施来自相关RAT C2的IP和域名阻止，部署包括YARA、Sigma和Snort在内的恶意软件签名检测规则，并监控LIS连接的异常活动。

考虑到该组织使用被黑路由器作为反向代理并持续针对高价值实体，电子邮件过滤、数据外泄监控和持续威胁情报更新至关重要。

展望未来，TAG-144预计将持续关注哥伦比亚政府资产，可能整合新兴工具并扩大LIS利用，同时在南美不断演变的数字环境中模糊网络犯罪与间谍活动的界限。

这种持久性凸显了加强区域防御和协作以减轻此类区域性威胁的必要性。

IP地址（集群1） 45.133.180.26, 146.70.137.90, 181.235.4.255

域名（集群1） envio16-05.duckdns.org, trabajonuevos.duckdns.org

IP地址（集群2） 64.188.9.172, 179.14.8.131

域名（集群2） pesosdepesoslibras.duckdns.org, deadpoolstart2064.duckdns.org

SHA256哈希值 04878a5889e3368c2cf093d42006ba18a87c5054f1464900094e6864f4919899, aee42a6d8d22a421fd445695d8b8c8b3311fa0dc0476461ea649a08236587edd