Группа использует фишинговые письма для первоначального проникновения в системы жертв. После этого злоумышленники разворачивают удалённые трояны, такие как AsyncRAT, NjRAT, Quasar RAT и Remcos RAT.
Последние атаки отличаются тремя ключевыми особенностями:
- Хакеры используют модифицированную версию эксплойта для уязвимости CVE-2024−43 451, связанной с раскрытием хэша NTLMv2 в Windows. Microsoft устранила эту проблему в ноябре 2024 года, но Blind Eagle включили её в свой арсенал всего через шесть дней после выпуска исправления.
- Злоумышленники использовали новый сервис упаковки вредоносных файлов HeartCrypt, который помогает обходить защитные механизмы.
- Для распространения вредоносного ПО использовали платформы Bitbucket и GitHub, расширяя спектр используемых легитимных файловых сервисов, кроме Google Drive и Dropbox.