Um grupo de ciberataques conhecido como Bloody Wolf realiza campanhas contra o Quirguistão desde pelo menos junho de 2025, com o objetivo principal de disseminar o NetSupport RAT, um tipo de malware de acesso remoto.
Segundo pesquisadores da Group-IB, Amirbek Kurbanov e Volen Kayo, em relatório divulgado em conjunto com a Ukuk — entidade estatal vinculada ao Gabinete do Procurador-Geral do Quirguistão — as ações se estenderam em outubro do mesmo ano para o Uzbequistão.
Os setores financeiro, governamental e de tecnologia da informação (TI) são os principais alvos destas investidas.
De acordo com a empresa, sediada em Singapura, os criminosos digitais combinam engenharia social e ferramentas acessíveis para manter um perfil operacional discreto, porém eficaz.
Eles se passam pelo Ministério da Justiça do Quirguistão, enviando documentos em PDF que aparentam ser oficiais e incluem domínios falsos, onde hospedam arquivos Java Archive (JAR) maliciosos responsáveis por instalar o NetSupport RAT nas máquinas das vítimas.
O grupo Bloody Wolf, de origem desconhecida, vem realizando ataques de spear-phishing contra entidades no Cazaquistão e na Rússia desde o fim de 2023, utilizando ferramentas como STRRAT e NetSupport.
A recente expansão para o Quirguistão e o Uzbequistão revela uma estratégia regional mais ampla, centrada na falsificação de órgãos governamentais para enganar usuários e distribuir links ou anexos maliciosos.
O método das campanhas é bastante semelhante: os destinatários recebem e-mails que os induzem a clicar em links capazes de baixar arquivos JAR, acompanhados de instruções para instalar o Java Runtime.
Embora a mensagem alegue que a instalação seja necessária para visualizar os documentos, o verdadeiro objetivo é executar o loader malicioso.
Após a execução, esse loader baixa o payload NetSupport RAT a partir de uma infraestrutura controlada pelos atacantes e garante persistência no sistema por meio de três técnicas:
- Criação de uma tarefa agendada no Windows
- Adição de um valor no Registro do Windows
- Inclusão de um script em lote na pasta "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
Um destaque na etapa da campanha focada no Uzbequistão é o uso de restrições geográficas.
Requisições originadas fora do país são redirecionadas para o site legítimo data.egov[.]uz, enquanto as vindas de dentro do território acionam o download do arquivo malicioso a partir do anexo em PDF.
Segundo a Group-IB, os loaders JAR identificados foram construídos em Java 8, versão lançada em março de 2014.
Acredita-se que os atacantes utilizem um gerador personalizado ou modelo para criar esses arquivos.
O payload NetSupport RAT corresponde a uma versão antiga do NetSupport Manager, datada de outubro de 2013.
O caso Bloody Wolf evidencia como ferramentas comerciais de baixo custo podem ser adaptadas para operações cibernéticas sofisticadas e direcionadas regionalmente.
Ao explorar a confiança nas instituições governamentais e usar loaders simples baseados em JAR, o grupo mantém presença significativa no cenário de ameaças da Ásia Central.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...