Nhóm tác nhân đe dọa được biết đến với tên Bloody Wolf đã được xác định là chủ mưu của một chiến dịch tấn công mạng nhắm vào Kyrgyzstan từ tháng 6 năm 2025, với mục tiêu phát tán NetSupport RAT.
Đến tháng 10 năm 2025, hoạt động này đã mở rộng sang Uzbekistan, theo báo cáo của các nhà nghiên cứu Group-IB Amirbek Kurbanov và Volen Kayo, được công bố với sự hợp tác của Ukuk, một doanh nghiệp nhà nước thuộc Văn phòng Tổng công tố Cộng hòa Kyrgyz. Các cuộc tấn công đã nhắm vào các lĩnh vực tài chính, chính phủ và công nghệ thông tin (IT).
Các tác nhân đe dọa này sẽ mạo danh Bộ Tư pháp [của Kyrgyzstan] thông qua các tài liệu PDF và tên miền trông có vẻ chính thức, mà lần lượt lưu trữ các tệp Java Archive (JAR) độc hại được thiết kế để triển khai NetSupport RAT, công ty có trụ sở tại Singapore cho biết.
Sự kết hợp giữa kỹ thuật xã hội (social engineering) và các công cụ dễ tiếp cận này cho phép Bloody Wolf duy trì hiệu quả trong khi vẫn giữ được hồ sơ hoạt động thấp.
Bloody Wolf là tên được gán cho một nhóm tin tặc không rõ nguồn gốc đã sử dụng các cuộc tấn công spear-phishing để nhắm vào các thực thể ở Kazakhstan và Nga bằng cách sử dụng các công cụ như STRRAT và NetSupport. Nhóm này được đánh giá là hoạt động ít nhất từ cuối năm 2023.
Việc nhắm mục tiêu vào Kyrgyzstan và Uzbekistan bằng các kỹ thuật truy cập ban đầu tương tự đánh dấu sự mở rộng hoạt động của tác nhân đe dọa này ở Trung Á, chủ yếu là mạo danh các bộ ngành chính phủ đáng tin cậy trong các email phishing để phát tán các liên kết hoặc tệp đính kèm chứa mã độc.
Các chuỗi tấn công ít nhiều tuân theo cùng một phương pháp, trong đó người nhận tin nhắn bị lừa nhấp vào các liên kết tải xuống các tệp Java archive (JAR) loader độc hại cùng với hướng dẫn cài đặt Java Runtime.
Mặc dù email tuyên bố việc cài đặt là cần thiết để xem tài liệu, nhưng thực tế là nó được sử dụng để thực thi loader. Sau khi khởi chạy, loader sau đó sẽ tải payload giai đoạn tiếp theo (tức là NetSupport RAT) từ cơ sở hạ tầng nằm dưới sự kiểm soát của kẻ tấn công và thiết lập duy trì quyền truy cập (persistence) theo ba cách -
- Tạo một tác vụ theo lịch trình (scheduled task)
- Thêm một giá trị Windows Registry
- Thả một tập lệnh batch vào thư mục "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
Giai đoạn chiến dịch nhắm vào Uzbekistan đáng chú ý vì đã tích hợp các hạn chế geofencing, do đó khiến các yêu cầu bắt nguồn từ bên ngoài quốc gia được chuyển hướng đến trang web hợp pháp data.egov[.]uz. Các yêu cầu từ bên trong Uzbekistan đã được phát hiện kích hoạt việc tải xuống tệp JAR từ một liên kết nhúng trong tệp đính kèm PDF.
Group-IB cho biết các JAR loader được quan sát trong các chiến dịch được xây dựng bằng Java 8, được phát hành vào tháng 3 năm 2014. Người ta tin rằng những kẻ tấn công đang sử dụng một trình tạo JAR tùy chỉnh hoặc một mẫu để tạo ra các phần mềm độc hại này. Payload NetSupport RAT là một phiên bản cũ của NetSupport Manager từ tháng 10 năm 2013.
Bloody Wolf đã chứng minh cách các công cụ có sẵn trên thị trường, chi phí thấp có thể được vũ khí hóa thành các hoạt động không gian mạng tinh vi, nhắm mục tiêu theo khu vực, công ty cho biết. Bằng cách khai thác lòng tin vào các tổ chức chính phủ và tận dụng các JAR loader đơn giản, nhóm này tiếp tục duy trì chỗ đứng vững chắc trên bối cảnh đe dọa ở Trung Á.
