Tác nhân đe dọa được biết đến với tên gọi Bloody Wolf đã bị liên kết với một chiến dịch nhắm mục tiêu vào Uzbekistan và Nga để lây nhiễm các hệ thống bằng một trojan truy cập từ xa (RAT) được gọi là NetSupport RAT.
Nhà cung cấp an ninh mạng Kaspersky đang theo dõi hoạt động này dưới biệt danh Stan Ghouls. Tác nhân đe dọa này được biết đến là hoạt động ít nhất từ năm 2023, dàn dựng các cuộc tấn công Spear-Phishing chống lại các lĩnh vực sản xuất, tài chính và IT ở Nga, Kyrgyzstan, Kazakhstan và Uzbekistan.
Chiến dịch này ước tính đã gây ra khoảng 50 nạn nhân ở Uzbekistan, với 10 thiết bị ở Nga cũng bị ảnh hưởng. Các vụ lây nhiễm khác đã được xác định ở mức độ thấp hơn ở Kazakhstan, Thổ Nhĩ Kỳ, Serbia và Belarus. Các nỗ lực lây nhiễm cũng đã được ghi nhận trên các thiết bị trong các tổ chức chính phủ, công ty hậu cần, cơ sở y tế và tổ chức giáo dục.
"Với việc Stan Ghouls nhắm mục tiêu vào các tổ chức tài chính, chúng tôi tin rằng động cơ chính của chúng là lợi ích tài chính," Kaspersky lưu ý. "Tuy nhiên, việc sử dụng nhiều RAT cũng có thể ám chỉ hoạt động gián điệp mạng."
Chi tiết chuỗi tấn công và công cụ
Việc lạm dụng NetSupport, một công cụ quản trị từ xa hợp pháp, là một sự thay đổi đối với tác nhân đe dọa này, trước đây đã sử dụng STRRAT (còn gọi là Strigoi Master) trong các cuộc tấn công của mình. Vào tháng 11 năm 2025, Group-IB đã ghi lại các cuộc tấn công Spear-Phishing nhắm vào các thực thể ở Kyrgyzstan để phân phối công cụ này.
Chuỗi tấn công khá đơn giản khi các email Spear-Phishing chứa tệp đính kèm PDF độc hại được sử dụng làm bệ phóng để kích hoạt lây nhiễm. Các tài liệu PDF nhúng các liên kết mà khi nhấp vào, sẽ dẫn đến việc tải xuống một loader độc hại xử lý nhiều tác vụ —
- Hiển thị thông báo lỗi giả mạo để tạo ấn tượng cho nạn nhân rằng ứng dụng không thể chạy trên máy của họ.
- Kiểm tra xem số lần cố gắng cài đặt RAT trước đó có ít hơn ba hay không. Nếu số lần đã đạt hoặc vượt quá giới hạn, loader sẽ hiển thị thông báo lỗi: "Attempt limit reached. Try another computer."
- Tải xuống NetSupport RAT từ một trong số các domain bên ngoài và khởi chạy nó.
- Đảm bảo tính bền bỉ của NetSupport RAT bằng cách cấu hình một script autorun trong thư mục Startup, thêm script khởi chạy NetSupport ("run.bat") vào khóa autorun của Registry và tạo một tác vụ theo lịch trình để kích hoạt việc thực thi cùng một script batch.
Kaspersky cho biết họ cũng đã xác định Mirai botnet payloads được dàn dựng trên hạ tầng liên quan đến Bloody Wolf, làm tăng khả năng tác nhân đe dọa này có thể đã mở rộng kho vũ khí malware của mình để nhắm mục tiêu vào các thiết bị IoT.
"Với hơn 60 mục tiêu bị tấn công, đây là một khối lượng đáng kể đối với một chiến dịch có mục tiêu tinh vi," công ty kết luận. "Điều này cho thấy các tác nhân này sẵn sàng đổ nguồn lực đáng kể vào hoạt động của chúng."
Các chiến dịch tấn công Nga khác
Tiết lộ này trùng hợp với một số chiến dịch mạng nhắm vào các tổ chức của Nga, bao gồm những chiến dịch do ExCobalt thực hiện, nhóm này đã lợi dụng các lỗ hổng bảo mật đã biết và thông tin xác thực bị đánh cắp từ các nhà thầu để giành quyền truy cập ban đầu vào mạng mục tiêu. Positive Technologies mô tả kẻ thù này là một trong những "nhóm nguy hiểm nhất" tấn công các thực thể của Nga.
Các cuộc tấn công được đặc trưng bởi việc sử dụng các công cụ khác nhau, cùng với các nỗ lực đánh cắp thông tin xác thực Telegram và lịch sử tin nhắn từ các máy chủ bị xâm nhập và thông tin xác thực Outlook Web Access bằng cách tiêm mã độc vào trang đăng nhập —
- CobInt, một backdoor đã biết được nhóm sử dụng.
- Lockers như Babuk và LockBit.
- PUMAKIT, một kernel rootkit để leo thang đặc quyền, ẩn tệp và thư mục, và tự che giấu khỏi các công cụ hệ thống, cùng với các phiên bản trước đó được biết đến như Facefish (tháng 2 năm 2021), Kitsune (tháng 2 năm 2022) và Megatsune (tháng 11 năm 2023). Việc sử dụng Kitsune cũng được liên kết với một nhóm đe dọa được gọi là Sneaky Wolf (còn gọi là Sneaking Leprechaun) bởi BI.ZONE.
- Octopus, một toolkit dựa trên Rust được sử dụng để leo thang đặc quyền trong một hệ thống Linux bị xâm nhập.
"Nhóm này đã thay đổi chiến thuật truy cập ban đầu, chuyển trọng tâm từ việc khai thác các lỗ hổng 1-day trong các dịch vụ doanh nghiệp có sẵn từ internet (ví dụ: Microsoft Exchange) sang việc xâm nhập vào hạ tầng của mục tiêu chính thông qua các nhà thầu," Positive Technologies cho biết.
Các tổ chức nhà nước, doanh nghiệp khoa học và tổ chức IT ở Nga cũng đã bị nhắm mục tiêu bởi một tác nhân đe dọa chưa được biết đến trước đây, được gọi là Punishing Owl, nhóm này đã trộm cắp và rò rỉ dữ liệu trên dark web. Nhóm này, bị nghi ngờ là một thực thể hacktivist có động cơ chính trị, đã hoạt động từ tháng 12 năm 2025, với một trong các tài khoản mạng xã hội của nó được quản lý từ Kazakhstan.
Các cuộc tấn công sử dụng email Spear-Phishing với tệp nén ZIP được bảo vệ bằng mật khẩu, khi mở ra, chứa một shortcut Windows (LNK) giả mạo tài liệu PDF. Mở tệp LNK dẫn đến việc thực thi lệnh PowerShell để tải xuống một stealer có tên ZipWhisper từ một máy chủ từ xa để thu thập dữ liệu nhạy cảm và tải lên cùng máy chủ đó.
Một nhóm đe dọa khác đã nhắm mục tiêu vào Nga và Belarus là Vortex Werewolf. Mục tiêu cuối cùng của các cuộc tấn công là triển khai Tor và OpenSSH để tạo điều kiện truy cập từ xa bền bỉ. Chiến dịch này trước đây đã được Cyble và Seqrite Labs tiết lộ vào tháng 11 năm 2025, với tên gọi Operation SkyCloak.
