O grupo de hackers conhecido como Bloody Wolf tem ampliado suas operações cibernéticas na Ásia Central, focando em ataques com o uso do NetSupport RAT. Desde junho de 2025, o Quirguistão tem sido alvo, e em outubro do mesmo ano, as atividades se estenderam ao Uzbequistão. A campanha visa setores como finanças, governo e tecnologia da informação, conforme relatório de pesquisadores da Group-IB, Amirbek Kurbanov e Volen Kayo, em parceria com a Ukuk, uma entidade estatal do Quirguistão.
Os invasores utilizam técnicas de engenharia social, fingindo ser o Ministério da Justiça do Quirguistão por meio de documentos PDF e domínios falsos. Esses documentos hospedam arquivos Java Archive (JAR) maliciosos, projetados para implantar o NetSupport RAT. O grupo Bloody Wolf, ativo desde 2023, é conhecido por ataques de spear-phishing em países como Cazaquistão e Rússia, usando ferramentas como STRRAT e NetSupport.
A expansão para o Uzbequistão inclui restrições geográficas, redirecionando acessos fora do país para sites legítimos, enquanto acessos internos baixam arquivos JAR maliciosos. Os e-mails de phishing enganam os destinatários para baixar arquivos JAR, alegando ser necessário instalar o Java Runtime para visualizar documentos, mas na verdade, executam o carregador que busca o NetSupport RAT.
Após a execução, o carregador estabelece persistência criando tarefas agendadas, adicionando valores ao Registro do Windows e inserindo scripts de inicialização. Os carregadores JAR observados são baseados no Java 8, e acredita-se que os atacantes utilizem um gerador ou modelo JAR personalizado. A carga útil do NetSupport RAT é uma versão antiga do NetSupport Manager, de outubro de 2013.
O uso de ferramentas comerciais de baixo custo, como os carregadores JAR, permite ao Bloody Wolf manter operações cibernéticas sofisticadas e direcionadas na Ásia Central, explorando a confiança em instituições governamentais.
Fonte:https://thehackernews.com/2025/11/bloody-wolf-expands-java-based.html
