El actor de amenazas conocido como lobo sangriento se ha atribuido a una campaña de ciberataque dirigida a Kirguistán desde al menos junio de 2025 con el objetivo de entregar NetSupport RAT.
A partir de octubre de 2025, la actividad se ha ampliado para seleccionar también a Uzbekistán, dijeron los investigadores del Grupo IB Amirbek Kurbanov y Volen Kayo en un informe publicado en colaboración con Ukuk, una empresa estatal dependiente de la Fiscalía General de la República Kirguisa. Los ataques se han dirigido a los sectores financiero, gubernamental y de tecnología de la información (TI).
«Esos actores de amenazas se harían pasar por el Ministerio de Justicia (de Kirguistán) a través de documentos PDF y nombres de dominio oficiales, que a su vez alojaban archivos Java Archive (JAR) maliciosos diseñados para implementar NetSupport RAT», dijo la compañía con sede en Singapur.
«Esta combinación de ingeniería social y herramientas accesibles permite a Bloody Wolf seguir siendo eficaz manteniendo un perfil operativo bajo».
Bloody Wolf es el nombre asignado a un grupo de hackers de procedencia desconocida que ha utilizado ataques de phishing dirigidos a entidades en Kazajstán y Rusia utilizando herramientas como STRRAT y NetSupport. Se estima que el grupo está activo desde al menos finales de 2023.
El ataque a Kirguistán y Uzbekistán utilizando técnicas de acceso inicial similares marca una expansión de las operaciones del actor de amenazas en Asia Central, principalmente haciéndose pasar por ministerios gubernamentales confiables en correos electrónicos de phishing para distribuir enlaces o archivos adjuntos armados.
Las cadenas de ataques siguen más o menos el mismo enfoque en el sentido de que se engaña a los destinatarios del mensaje para que hagan clic en enlaces que descargan archivos cargadores de archivos Java (JAR) maliciosos junto con instrucciones para instalar Java Runtime.
Si bien el correo electrónico afirma que la instalación es necesaria para ver los documentos, la realidad es que se utiliza para ejecutar el cargador. Una vez iniciado, el cargador procede a buscar la carga útil de la siguiente etapa (es decir, NetSupport RAT) de la infraestructura que está bajo el control del atacante y configura la persistencia de tres maneras:
- Crear una tarea programada
- Agregar un valor del Registro de Windows
- Colocar un script por lotes en la carpeta «%APPDATA%MicrosoftWindowsStart MenuProgramsStartup»
La fase de la campaña en Uzbekistán se destaca por incorporar restricciones de geocercas, lo que provoca que las solicitudes originadas fuera del país sean redirigidas al sitio web legítimo data.egov(.)uz. Se ha descubierto que las solicitudes procedentes de Uzbekistán activan la descarga del archivo JAR desde un enlace incrustado en el archivo PDF adjunto.
Group-IB dijo que los cargadores JAR observados en las campañas están construidos con Java 8, que fue lanzado en marzo de 2014. Se cree que los atacantes están usando un generador o plantilla JAR personalizado para generar estos artefactos. La carga útil de NetSupport RAT es una versión antigua de NetSupport Manager de octubre de 2013.
«Bloody Wolf ha demostrado cómo herramientas de bajo costo y disponibles comercialmente pueden convertirse en armas en operaciones cibernéticas sofisticadas y dirigidas a regiones», dijo. «Al explotar la confianza en las instituciones gubernamentales y aprovechar cargadores simples basados en JAR, el grupo continúa manteniendo una fuerte presencia en todo el panorama de amenazas de Asia Central».