El actor de amenazas conocido como Bloody Wolf ha sido atribuido a una campaña de ciberataques dirigida a Kirguistán desde al menos junio de 2025 con el objetivo de implementar el RAT NetSupport.
A partir de octubre de 2025, la actividad se ha expandido para afectar también a Uzbekistán, según informaron los investigadores del Grupo IB, Amirbek Kurbanov y Volen Kayo, en un informe publicado en colaboración con Ukuk, una empresa estatal dependiente de la Fiscalía General de la República Kirguisa. Los ataques se han dirigido a los sectores financiero, gubernamental y de tecnologías de la información (TI).
«Estos actores de amenazas se hacían pasar por el Ministerio de Justicia de Kirguistán mediante documentos PDF y nombres de dominio de aspecto oficial, que a su vez albergaban archivos Java (JAR) maliciosos diseñados para implementar el RAT NetSupport», declaró la empresa con sede en Singapur.
«Esta combinación de ingeniería social y herramientas accesibles permite a Bloody Wolf mantener su eficacia manteniendo un perfil operativo discreto».
Bloody Wolf es el nombre asignado a un grupo de hackers de origen desconocido que ha utilizado ataques de phishing selectivo para atacar entidades en Kazajistán y Rusia mediante herramientas como STRRAT y NetSupport. Se estima que el grupo está activo desde al menos finales de 2023.
El ataque a Kirguistán y Uzbekistán con técnicas de acceso inicial similares marca una expansión de las operaciones del actor de amenazas en Asia Central, principalmente suplantando la identidad de ministerios gubernamentales de confianza en correos electrónicos de phishing para distribuir enlaces o archivos adjuntos maliciosos.
Las cadenas de ataque siguen prácticamente el mismo enfoque: se engaña a los destinatarios del mensaje para que hagan clic en enlaces que descargan archivos maliciosos del cargador de Java (JAR) junto con instrucciones para instalar Java Runtime.
Si bien el correo electrónico afirma que la instalación es necesaria para ver los documentos, en realidad se utiliza para ejecutar el cargador. Una vez iniciado, el cargador procede a obtener la carga útil de la siguiente etapa (es decir, NetSupport RAT) de la infraestructura controlada por el atacante y configura la persistencia de tres maneras:
- Creando una tarea programada
- Añadiendo un valor del Registro de Windows
- Siguiendo un script por lotes en la carpeta «%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup»
La fase de la campaña en Uzbekistán se caracteriza por incorporar restricciones de geofencing, lo que provoca que las solicitudes originadas fuera del país se redirijan al sitio web legítimo data.egov[.]uz. Se ha descubierto que las solicitudes desde Uzbekistán desencadenan la descarga del archivo JAR desde un enlace incrustado en el PDF adjunto.
Group-IB afirmó que los cargadores JAR observados en las campañas están desarrollados con Java 8, publicado en marzo de 2014. Se cree que los atacantes utilizan un generador o plantilla JAR a medida para generar estos artefactos. La carga útil NetSupport RAT es una versión antigua de NetSupport Manager de octubre de 2013.
«Bloody Wolf ha demostrado cómo se pueden utilizar herramientas comerciales de bajo coste para operaciones cibernéticas sofisticadas y dirigidas a nivel regional», declaró. «Al explotar la confianza en las instituciones gubernamentales y usar cargadores sencillos basados en JAR, el grupo mantiene una sólida presencia en el panorama de amenazas de Asia Central».