De bedreigingsacteur bekend als Bloedige Wolf wordt toegeschreven aan een cyberaanvalcampagne die zich sinds ten minste juni 2025 op Kirgizië heeft gericht met als doel NetSupport RAT te leveren.
Vanaf oktober 2025 is de activiteit uitgebreid naar Oezbekistan, zeggen Group-IB-onderzoekers Amirbek Kurbanov en Volen Kayo in een rapport dat is gepubliceerd in samenwerking met Ukuk, een staatsbedrijf onder het parket van de procureur-generaal van de Kirgizische Republiek. De aanvallen waren gericht op de financiële, overheids- en informatietechnologiesectoren (IT).
“Deze bedreigingsactoren zouden zich voordoen als het (Kirgizische) Ministerie van Justitie via officieel ogende PDF-documenten en domeinnamen, die op hun beurt kwaadaardige Java Archive (JAR)-bestanden hosten die ontworpen waren om de NetSupport RAT in te zetten”, aldus het bedrijf met het hoofdkantoor in Singapore.
“Deze combinatie van social engineering en toegankelijke tools zorgt ervoor dat Bloody Wolf effectief kan blijven en tegelijkertijd een laag operationeel profiel kan behouden.”
Bloody Wolf is de naam die is toegewezen aan een hackgroep van onbekende herkomst die spear-phishing-aanvallen heeft gebruikt om entiteiten in Kazachstan en Rusland te targeten met behulp van tools als STRRAT en NetSupport. Er wordt geschat dat de groep in ieder geval eind 2023 actief is.
Het aanvallen van Kirgizië en Oezbekistan met vergelijkbare initiële toegangstechnieken markeert een uitbreiding van de activiteiten van de dreigingsactor in Centraal-Azië, waarbij hij in phishing-e-mails voornamelijk vertrouwde ministeries nabootst om bewapende links of bijlagen te verspreiden.
De aanvalsketens volgen min of meer dezelfde aanpak, waarbij de ontvangers van berichten worden misleid om op links te klikken die kwaadaardige JAR-laadbestanden (Java Archive) downloaden, samen met instructies om Java Runtime te installeren.
Hoewel in de e-mail wordt beweerd dat de installatie nodig is om de documenten te bekijken, wordt de installatie in werkelijkheid gebruikt om de lader uit te voeren. Eenmaal gelanceerd, gaat de lader vervolgens verder met het ophalen van de payload van de volgende fase (dwz NetSupport RAT) van de infrastructuur die onder controle van de aanvaller staat en stelt persistentie op drie manieren in:
- Een geplande taak maken
- Een Windows-registerwaarde toevoegen
- Een batchscript neerzetten in de map “%APPDATA%MicrosoftWindowsStart MenuProgramsStartup”
De Oezbekistan-fase van de campagne valt op door het opnemen van geofencing-beperkingen, waardoor verzoeken die afkomstig zijn van buiten het land worden doorgestuurd naar de legitieme data.egov(.)uz-website. Er is vastgesteld dat verzoeken vanuit Oezbekistan het downloaden van het JAR-bestand activeren via een ingesloten link in de pdf-bijlage.
Group-IB zei dat de JAR-laders die in de campagnes zijn waargenomen, zijn gebouwd met Java 8, dat in maart 2014 werd uitgebracht. Er wordt aangenomen dat de aanvallers een op maat gemaakte JAR-generator of sjabloon gebruiken om deze artefacten voort te brengen. De NetSupport RAT-payload is een oude versie van NetSupport Manager uit oktober 2013.
“Bloody Wolf heeft aangetoond hoe goedkope, in de handel verkrijgbare tools kunnen worden ingezet voor geavanceerde, regionaal gerichte cyberoperaties”, aldus het rapport. “Door het vertrouwen in overheidsinstellingen uit te buiten en gebruik te maken van eenvoudige JAR-gebaseerde laders, blijft de groep een sterke positie behouden in het Centraal-Aziatische dreigingslandschap.”
