Bloody Wolf mở rộng các cuộc tấn công RAT NetSupport dựa trên Java

[Starlink]

Kẻ tấn công có tên Bloody Wolf được cho là đã thực hiện chiến dịch tấn công mạng nhắm vào Kyrgyzstan kể từ ít nhất tháng 6 năm 2025 với mục tiêu phát tán NetSupport RAT.

Tính đến tháng 10 năm 2025, hoạt động này đã mở rộng sang cả Uzbekistan, các nhà nghiên cứu Amirbek Kurbanov và Volen Kayo của Group-IB cho biết trong một báo cáo được công bố với sự hợp tác của Ukuk, một doanh nghiệp nhà nước thuộc Văn phòng Tổng Công tố Cộng hòa Kyrgyzstan. Các cuộc tấn công nhắm vào các lĩnh vực tài chính, chính phủ và công nghệ thông tin (CNTT).

Công ty có trụ sở tại Singapore cho biết : "Những kẻ đe dọa này sẽ mạo danh Bộ Tư pháp [Kyrgyzstan] thông qua các tài liệu PDF và tên miền có vẻ ngoài chính thức, sau đó lưu trữ các tệp Java Archive (JAR) độc hại được thiết kế để triển khai NetSupport RAT".

"Sự kết hợp giữa kỹ thuật xã hội và công cụ dễ sử dụng này cho phép Bloody Wolf duy trì hiệu quả trong khi vẫn giữ được tính hoạt động thấp."

Bloody Wolf là tên gọi của một nhóm tin tặc không rõ nguồn gốc, đã sử dụng các công cụ như STRRAT và NetSupport để tấn công các tổ chức ở Kazakhstan và Nga. Nhóm này được đánh giá là đã hoạt động ít nhất từ cuối năm 2023.

Việc nhắm mục tiêu vào Kyrgyzstan và Uzbekistan bằng các kỹ thuật truy cập ban đầu tương tự đánh dấu sự mở rộng hoạt động của kẻ tấn công ở Trung Á, chủ yếu mạo danh các bộ chính phủ đáng tin cậy trong các email lừa đảo để phát tán các liên kết hoặc tệp đính kèm có vũ khí.

Các chuỗi tấn công ít nhiều tuân theo cùng một cách tiếp cận ở chỗ người nhận tin nhắn bị lừa nhấp vào các liên kết tải xuống tệp tải tệp Java độc hại (JAR) cùng với hướng dẫn cài đặt Java Runtime.

Mặc dù email khẳng định việc cài đặt là cần thiết để xem tài liệu, nhưng thực tế là nó được sử dụng để thực thi trình tải. Sau khi khởi chạy, trình tải sẽ tiếp tục lấy payload giai đoạn tiếp theo (tức là NetSupport RAT) từ cơ sở hạ tầng do kẻ tấn công kiểm soát và thiết lập tính bền bỉ theo ba cách:

    Tạo một tác vụ theo lịch trình
    Thêm giá trị Windows Registry
    Thả một tập lệnh hàng loạt vào thư mục "%APPDATA%MicrosoftWindowsStart MenuProgramsStartup"

Giai đoạn Uzbekistan của chiến dịch đáng chú ý vì đã áp dụng các hạn chế về hàng rào địa lý, khiến các yêu cầu từ bên ngoài quốc gia này bị chuyển hướng đến trang web data.egov[.]uz hợp pháp. Các yêu cầu từ bên trong Uzbekistan đã được phát hiện kích hoạt việc tải xuống tệp JAR từ một liên kết nhúng trong tệp PDF đính kèm.

Group-IB cho biết các trình tải JAR được phát hiện trong các chiến dịch được xây dựng bằng Java 8, phiên bản được phát hành vào tháng 3 năm 2014. Người ta tin rằng những kẻ tấn công đang sử dụng một trình tạo JAR hoặc mẫu riêng để tạo ra các hiện vật này. Tải trọng NetSupport RAT là phiên bản cũ của NetSupport Manager từ tháng 10 năm 2013.

"Bloody Wolf đã chứng minh cách các công cụ thương mại giá rẻ có thể được sử dụng như vũ khí cho các hoạt động mạng tinh vi, nhắm mục tiêu theo khu vực", báo cáo cho biết. "Bằng cách lợi dụng lòng tin vào các tổ chức chính phủ và tận dụng các trình tải JAR đơn giản, nhóm này tiếp tục duy trì vị thế vững chắc trên khắp khu vực Trung Á."