O grupo de hackers conhecido como Bloody Wolf intensificou suas operações cibernéticas na Ásia Central, especificamente no Quirguistão e no Uzbequistão, utilizando o NetSupport RAT baseado em Java. Desde junho de 2025, o Quirguistão tem sido alvo desses ataques, que se expandiram para o Uzbequistão em outubro do mesmo ano, conforme relatório da Group-IB em colaboração com a Ukuk, uma entidade estatal do Quirguistão.
Os ataques têm como alvo setores financeiros, governamentais e de tecnologia da informação. Os cibercriminosos se passam pelo Ministério da Justiça do Quirguistão, utilizando documentos PDF e domínios falsos para disseminar arquivos Java Archive (JAR) maliciosos, projetados para implantar o NetSupport RAT. Essa combinação de engenharia social e ferramentas acessíveis permite que o Bloody Wolf mantenha um perfil operacional discreto.
O Bloody Wolf, ativo desde 2023, é conhecido por usar ataques de spear-phishing contra entidades no Cazaquistão e na Rússia, empregando ferramentas como STRRAT e NetSupport. A expansão para o Quirguistão e o Uzbequistão envolve técnicas de acesso inicial semelhantes, onde e-mails de phishing imitam ministérios governamentais para distribuir links ou anexos maliciosos. As vítimas são induzidas a clicar em links que baixam arquivos JAR, sob o pretexto de que a instalação do Java Runtime é necessária para visualizar documentos.
Após a execução, o loader busca o payload do NetSupport RAT e estabelece persistência através de tarefas agendadas, valores no Registro do Windows e scripts em pastas de inicialização. A fase no Uzbequistão é notável por usar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto dentro do Uzbequistão, o download do arquivo JAR é ativado por um link embutido no PDF.
Os loaders JAR utilizados são construídos com Java 8, lançado em 2014, e acredita-se que os atacantes usem um gerador ou modelo personalizado para criar esses artefatos. O payload do NetSupport RAT é uma versão antiga do NetSupport Manager de 2013. O Bloody Wolf demonstra como ferramentas comerciais de baixo custo podem ser transformadas em operações cibernéticas sofisticadas e direcionadas regionalmente, explorando a confiança em instituições governamentais e utilizando loaders baseados em JAR.
Fonte:https://thehackernews.com/2025/11/bloody-wolf-expands-java-based.html
