Специалисты Group-IB зафиксировали новые атаки хак-группы Bloody Wolf, которая с июня 2025 года нацелена на Кыргызстан, а с октября расширила свою активность и на Узбекистан. В зоне риска оказались финансовый сектор, госорганы и ИТ-компании.
По словам исследователей, злоумышленники выдают себя за Министерство юстиции Кыргызстана: используют поддельные PDF-документы и домены, которые выглядят легитимными, но на деле распространяют Java-архивы (JAR) с малварью NetSupport RAT.
Bloody Wolf активна как минимум с конца 2023 года. Ранее группировка атаковала Казахстан и Россию, распространяя STRRAT и NetSupport посредством фишинга. Теперь географический охват злоумышленников расширился на Центральную Азию, но тактика осталась прежней: в письмах группировка выдает себя за представителей госорганов, стремясь вынудить жертву открыть вредоносное вложение.
Схема атаки проста. Жертве присылают письмо со ссылкой на якобы важный документ. При переходе по ссылке загружается JAR-файл вместе с инструкцией по установке Java Runtime. В письме утверждается, что Java нужна для просмотра файлов, тогда как на самом деле загрузчик скачивает NetSupport RAT с сервера хакеров и закрепляется в системе сразу тремя способами: через запланированную задачу, запись в реестре Windows и файл BAT в папке автозагрузки.
Эксперты пишут, что во время атак на узбекские организации хакеры применяли геофенсинг: если запрос исходил не из Узбекистана, жертву перенаправляли на настоящий сайт data.egov.uz. Зато запросы изнутри страны запускали скачивание JAR-файла по встроенной в PDF ссылке.
Отмечается, что все JAR-загрузчики группы собраны на старой версии Java 8 (выпущена в марте 2014 года). Специалисты полагают, что у группы есть собственный генератор или шаблон для создания таких файлов. При этом версия малвари NetSupport тоже далеко не новая и датирована октябрем 2013 года.
Исследователи резюмируют, что Bloody Wolf демонстрирует, что даже дешевые коммерческие инструменты могут стать эффективным оружием для таргетированных и сложных атак.
