El actor de amenazas conocido como lobo sangriento se ha atribuido a una campaña de ciberataque dirigida a Kirguistán desde al menos junio de 2025 con el objetivo de entregar NetSupport RAT.
A partir de octubre de 2025, la actividad se ha ampliado para decantarse todavía a Uzbekistán, dijeron los investigadores del Colección IB Amirbek Kurbanov y Volen Kayo en un mensaje publicado en colaboración con Ukuk, una empresa estatal dependiente de la Fiscalía Universal de la República Kirguisa. Los ataques se han dirigido a los sectores financiero, público y de tecnología de la información (TI).
“Esos actores de amenazas se harían sobrevenir por el Empleo de Razón (de Kirguistán) a través de documentos PDF y nombres de dominio oficiales, que a su vez alojaban archivos Java Archive (JAR) maliciosos diseñados para implementar NetSupport RAT”, dijo la compañía con sede en Singapur.
“Esta combinación de ingeniería social y herramientas accesibles permite a Bloody Wolf seguir siendo eficaz manteniendo un perfil operante bajo”.
Bloody Wolf es el nombre asignado a un corro de hackers de procedencia desconocida que ha utilizado ataques de phishing dirigidos a entidades en Kazajstán y Rusia utilizando herramientas como STRRAT y NetSupport. Se estima que el corro está activo desde al menos finales de 2023.
El ataque a Kirguistán y Uzbekistán utilizando técnicas de acercamiento original similares marca una expansión de las operaciones del actor de amenazas en Asia Central, principalmente haciéndose sobrevenir por ministerios gubernamentales confiables en correos electrónicos de phishing para distribuir enlaces o archivos adjuntos armados.
Las cadenas de ataques siguen más o menos el mismo enfoque en el sentido de que se engaña a los destinatarios del mensaje para que hagan clic en enlaces que descargan archivos cargadores de archivos Java (JAR) maliciosos conexo con instrucciones para instalar Java Runtime.
Si proporcionadamente el correo electrónico afirma que la instalación es necesaria para ver los documentos, la sinceridad es que se utiliza para ejecutar el cargador. Una vez iniciado, el cargador procede a agenciárselas la carga útil de la sucesivo etapa (es afirmar, NetSupport RAT) de la infraestructura que está bajo el control del atacante y configura la persistencia de tres maneras:
- Crear una tarea programada
- Añadir un valencia del Registro de Windows
- Colocar un script por lotes en la carpeta “%APPDATA%MicrosoftWindowsStart MenuProgramsStartup”
La período de la campaña en Uzbekistán se destaca por incorporar restricciones de geocercas, lo que provoca que las solicitudes originadas fuera del país sean redirigidas al sitio web genuino data.egov(.)uz. Se ha descubierto que las solicitudes procedentes de Uzbekistán activan la descarga del archivo JAR desde un enlace incrustado en el archivo PDF adjunto.
Group-IB dijo que los cargadores JAR observados en las campañas están construidos con Java 8, que fue osado en marzo de 2014. Se cree que los atacantes están usando un magneto o plantilla JAR personalizado para difundir estos artefactos. La carga útil de NetSupport RAT es una lectura antigua de NetSupport Manager de octubre de 2013.
“Bloody Wolf ha demostrado cómo herramientas de bajo costo y disponibles comercialmente pueden convertirse en armas en operaciones cibernéticas sofisticadas y dirigidas a regiones”, dijo. “Al explotar la confianza en las instituciones gubernamentales y beneficiarse cargadores simples basados en JAR, el corro continúa manteniendo una válido presencia en todo el panorama de amenazas de Asia Central”.
