Хакерська група Bloody Wolf розширила свою діяльність у Центральній Азії, розгорнувши нову хвилю атак із використанням NetSupport RAT на основі Java, спрямованих на фінансові, державні та ІТ-сектори Киргизстану та Узбекистану.
Дослідники Group-IB заявили, що кампанія Bloody Wolf, яка розпочалася в Киргизстані ще в червні 2025 року, восени поширилася на Узбекистан. Хакери маскувалися під Міністерство юстиції Киргизстану, використовуючи офіційні PDF-файли та домени, щоб змусити жертв завантажити заражені Java–архіви (JAR). Їх завдання — доставити зловмисний NetSupport RAT, що дозволяє віддалений контроль над системами жертви.
Узбекистанський етап кампанії включав геозоноване перенаправлення: користувачі поза країною бачили легітимний сайт data.egov[.]uz, тоді як жертви всередині країни автоматично завантажували шкідливий JAR-файл. Після запуску завантажувач витягував другий етап — застарілу, але функціональну версію NetSupport Manager (2013 року), забезпечуючи її автозапуск через реєстр, заплановані задачі та startup-папки Windows.
Bloody Wolf — маловідома, але активна група зловмисників, що діє щонайменше з 2023 року. Раніше вона атакувала цілі в Казахстані та Росії, використовуючи STRRAT, NetSupport та інші доступні інструменти. Її операції зазвичай ґрунтуються на соціальній інженерії, фальшивих елементах державних установ і недорогих шкідливих компонентах.
Для створення шкідливих JAR-файлів, за даними Group-IB, злочинці, ймовірно, використовують шаблон або спеціальний генератор на базі Java 8. Їхня стратегія демонструє, що навіть застарілі інструменти можуть бути ефективними в регіональних атаках, якщо супроводжуються переконливою соціальною інженерією.
Кампанія Bloody Wolf показує, що загроза регіонально орієнтованих атак у Центральній Азії зростає, а зловмисники активно комбінують прості технічні засоби з маніпуляцією довірою до державних органів. Використання застарілого, але надійного NetSupport RAT доводить: навіть недорогі інструменти можуть спричинити масштабні кібератаки. Організаціям регіону варто приділяти більше уваги фільтрації електронної пошти, перевірці вкладень і блокуванню запуску JAR-файлів.
