De bedreigingsacteur bekend als Bloedige Wolf is gekoppeld aan een campagne gericht op Oezbekistan en Rusland om systemen te infecteren met een trojan voor externe toegang, bekend als NetSupport RAT.
Cybersecurityleverancier Kaspersky volgt de activiteit onder de naam Stan Ghouls. Het is bekend dat de bedreigingsacteur minstens sinds 2023 actief is en spearphishing-aanvallen orkestreert tegen de productie-, financiële en IT-sectoren in Rusland, Kirgizië, Kazachstan en Oezbekistan.
Er wordt geschat dat de campagne ongeveer vijftig slachtoffers heeft geëist in Oezbekistan, terwijl ook tien apparaten in Rusland getroffen zijn. Andere infecties zijn in mindere mate vastgesteld in Kazachstan, Turkije, Servië en Wit-Rusland. Er zijn ook infectiepogingen geregistreerd op apparaten binnen overheidsorganisaties, logistieke bedrijven, medische instellingen en onderwijsinstellingen.
“Gezien de aanvallen van Stan Ghouls op financiële instellingen, denken wij dat hun voornaamste motief financieel gewin is”, aldus Kaspersky. “Dat gezegd hebbende, kan hun intensieve gebruik van RAT’s ook wijzen op cyberspionage.”
Het misbruik van NetSupport, een legitiem hulpmiddel voor extern beheer, is een vertrekpunt voor de bedreigingsacteur, die eerder STRRAT (ook bekend als Strigoi Master) gebruikte bij zijn aanvallen. In november 2025 documenteerde Group-IB phishing-aanvallen gericht op entiteiten in Kirgizië om de tool te verspreiden.
De aanvalsketens zijn redelijk eenvoudig in die zin dat phishing-e-mails met kwaadaardige pdf-bijlagen worden gebruikt als startpunt om de infectie te activeren. De PDF-documenten bevatten koppelingen die, wanneer erop wordt geklikt, leiden tot het downloaden van een kwaadaardige lader die meerdere taken afhandelt:
- Geef een nepfoutbericht weer om bij het slachtoffer de indruk te wekken dat de applicatie niet op zijn of haar computer kan worden uitgevoerd.
- Controleer of het aantal eerdere RAT-installatiepogingen minder dan drie is. Als het aantal de limiet heeft bereikt of overschreden, geeft de lader een foutmelding: “Pogingslimiet bereikt. Probeer een andere computer.”
- Download de NetSupport RAT van een van de verschillende externe domeinen en start deze.
- Verzeker de persistentie van NetSupport RAT door een autorun-script in de map Opstarten te configureren, een NetSupport-startscript (“run.bat”) toe te voegen aan de autorun-sleutel van het register en een geplande taak te maken om de uitvoering van hetzelfde batchscript te activeren.
Kaspersky zei dat het ook Mirai-botnet-payloads heeft geïdentificeerd die zijn geënsceneerd op de infrastructuur die verband houdt met Bloody Wolf, waardoor de mogelijkheid ontstaat dat de bedreigingsacteur zijn malwarearsenaal heeft uitgebreid om zich op IoT-apparaten te richten.
“Met meer dan 60 treffers is dit een opmerkelijk hoog volume voor een geavanceerde, gerichte campagne”, concludeerde het bedrijf. “Het wijst op de aanzienlijke middelen die deze actoren bereid zijn in hun operaties te steken.”
De onthulling valt samen met een aantal cybercampagnes gericht op Russische organisaties, waaronder die van ExCobalt, die gebruik heeft gemaakt van bekende beveiligingsfouten en van aannemers gestolen inloggegevens om initiële toegang tot doelnetwerken te verkrijgen. Positive Technologies omschreef de tegenstander als een van de ‘gevaarlijkste groepen’ die Russische entiteiten aanvallen.
De aanvallen worden gekenmerkt door het gebruik van verschillende tools, samen met pogingen om Telegram-referenties en berichtgeschiedenis van de getroffen hosts en Outlook Web Access-referenties over te hevelen door kwaadaardige code in de inlogpagina te injecteren –
- CobInt, een bekende achterdeur die door de groep wordt gebruikt.
- Kluisjes zoals Babuk en LockBit.
- PUMAKIT, een kernel-rootkit om privileges te escaleren, bestanden en mappen te verbergen en zichzelf te verbergen voor systeemtools, samen met eerdere iteraties bekend als Facefish (februari 2021), Kitsune (februari 2022) en Megatsune (november 2023). Het gebruik van Kitsune werd door BI.ZONE ook gekoppeld aan een dreigingscluster dat bekend staat als Sneaky Wolf (ook bekend als Sneaking Leprechaun).
- Octopus, een op Rust gebaseerde toolkit die wordt gebruikt om de bevoegdheden in een gecompromitteerd Linux-systeem te verhogen.
“De groep veranderde de tactiek van initiële toegang, waardoor de aandacht verlegde van de exploitatie van één-daagse kwetsbaarheden in bedrijfsdiensten die beschikbaar zijn via internet (bijvoorbeeld Microsoft Exchange) naar de penetratie van de infrastructuur van het belangrijkste doelwit via aannemers”, aldus Positive Technologies.
Staatsinstellingen, wetenschappelijke bedrijven en IT-organisaties in Rusland zijn ook het doelwit van een voorheen onbekende dreigingsactor, bekend als Punishing Owl, die zijn toevlucht heeft genomen tot het stelen en lekken van gegevens op het dark web. De groep, waarvan wordt vermoed dat het een politiek gemotiveerde hacktivistische entiteit is, is sinds december 2025 actief en beheert een van de socialemedia-accounts vanuit Kazachstan.
Bij de aanvallen wordt gebruik gemaakt van phishing-e-mails met een met een wachtwoord beveiligd ZIP-archief, dat, wanneer het wordt geopend, een Windows-snelkoppeling (LNK) bevat die zich voordoet als een PDF-document. Het openen van het LNK-bestand resulteert in de uitvoering van een PowerShell-opdracht om een stealer genaamd ZipWhisper van een externe server te downloaden om gevoelige gegevens te verzamelen en deze naar dezelfde server te uploaden.
Een ander dreigingscluster dat zijn blik op Rusland en Wit-Rusland heeft gericht, is Vortex Werewolf. Het einddoel van de aanvallen is om Tor en OpenSSH in te zetten om permanente toegang op afstand mogelijk te maken. De campagne werd eerder in november 2025 onthuld door Cyble en Seqrite Labs, waarbij laatstgenoemde de campagne Operation SkyCloak noemde.
