Bloody Wolf rozszerza kampanie z Java/JAR i NetSupport RAT na Kirgistan i Uzbekistan

Wprowadzenie do problemu / definicja luki

Grupa zagrożeń „Bloody Wolf” prowadzi od co najmniej czerwca 2025 r. ukierunkowane kampanie spear-phishingowe w Azji Centralnej, których celem jest dostarczenie NetSupport RAT — komercyjnego narzędzia zdalnego zarządzania nadużywanego jako trojan. Od października 2025 r. aktywność rozszerzyła się z Kirgistanu na Uzbekistan, z silnym podszywaniem się pod ministerstwa sprawiedliwości i użyciem plików JAR (Java) jako loaderów. Kampania stosuje m.in. geofencing, by serwować złośliwe pliki wyłącznie ofiarom z określonego kraju.

W skrócie

• Wejście: spear-phishing z załącznikami PDF udającymi korespondencję urzędową; linki prowadzą do JAR-ów i instrukcji instalacji JRE.
• Łańcuch infekcji: JAR pobiera komponenty NetSupport, ustawia trwałość (Harmonogram zadań, RunKey, skrót w Startup).
• Geofencing: w wątku uzbeckim żądania spoza kraju przekierowywane są do legalnej domeny data.egov[.]uz, a lokalnym ofiarom serwowany jest JAR.
• Tło: wcześniej Bloody Wolf atakował Kazachstan i Rosję (STRRAT → NetSupport).
• Szerszy trend: nadużywanie legalnych narzędzi RMM (NetSupport) rośnie — istotne w telemetrycznych rankingach zagrożeń.

Kontekst / historia / powiązania

Zgodnie z wcześniejszymi analizami BI.ZONE, klaster Bloody Wolf przeszedł w 2024/2025 r. z dystrybucji STRRAT na dostarczanie NetSupport Manager jako „RAT-a”, kompromitując setki organizacji w regionie (Kazachstan, następnie Rosja). Bieżące śledztwo Group-IB (przy współpracy z Ukuk, jednostką podległą Prokuraturze Generalnej KR) dokumentuje ekspansję na Kirgistan i Uzbekistan w 2025 r.

Analiza techniczna / szczegóły kampanii

Wejście i socjotechnika. E-maile z PDF-ami podszywają się pod lokalne ministerstwa sprawiedliwości. PDF zawiera odnośniki opisane jako „materiały sprawy”. Ofiary są instruowane, by zainstalować Java Runtime „niezbędne do otwarcia dokumentu”, po czym uruchamiają pobrany JAR.

Loader JAR.

• Loader napisany dla Java 8 (2014) jest zróżnicowany wariantami (różne ścieżki pobrań, klucze rejestru, komunikaty błędów), co sugeruje generator JAR po stronie atakujących.
• Po uruchomieniu JAR pobiera komponenty NetSupport z infrastruktury C2 i uruchamia je, symulując fałszywe okienka błędów.

Trwałość (Persistence). Atakujący utrwalają się trzema kanałami:

1. Scheduled Task, 2) RunKey w rejestrze, 3) skrót w Startup (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup).

Selektor geograficzny (Uzbekistan). Infrastruktura delivery stosuje geofencing: ruch spoza Uzbekistanu przekierowuje do legalnego serwisu data.egov[.]uz, zaś ruch z kraju powoduje automatyczne pobranie JAR z linku osadzonego w PDF.

Mapowanie do MITRE ATT&CK (na podstawie wcześniejszych kampanii Bloody Wolf):

• Initial Access: Spearphishing Attachment
• Execution: Java JAR, Windows Command Shell
• Persistence: Run Keys / Startup Folder
• C2: HTTPS, Ingress Tool Transfer
• Discovery: System Information Discovery
  Te taktyki i techniki zostały wcześniej udokumentowane dla tego klastra przez BI.ZONE.

Praktyczne konsekwencje / ryzyko

• Uderzenie w sektor publiczny i finansowy: podszywanie się pod resorty sprawiedliwości zwiększa skuteczność socjotechniki w urzędach i instytucjach finansowych.
• Utrudniona detekcja: NetSupport to legalne narzędzie RMM — jego binaria bywają podpisane i mieszczą się w dozwolonych regułach, co obniża sygnał anomalii i zwiększa dwell time. Telemetria branżowa pokazuje jego wysoką powszechność w nadużyciach.
• Selektor kraju: geofencing zmniejsza widoczność kampanii w globalnych sandboxach i u analityków spoza regionu, utrudniając wymianę IOCs.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i twardnienie stacji roboczych

1. Blokada JAR: o ile Java nie jest wymagana biznesowo, zablokuj uruchamianie *.jar (AppLocker/SRP) i dystrybucję JRE poza kontrolą IT.
2. Kontrola RMM: inwentaryzuj i dozwalaj tylko autoryzowane narzędzia zdalne (allow-list). Wykrywaj i blokuj nieautoryzowany NetSupport (klient/serwer) po cechach plików, nazwach usług i domenach C2. Telemetrię o NetSupport traktuj jako zdarzenie o podwyższonym priorytecie.
3. Filtrowanie e-mail/URL: blokuj makra i osadzone linki w PDF, skanuj załączniki pod kątem odnośników do pobrania JAR oraz fraz instruujących instalację Javy.

Detekcja i reagowanie
4. Reguły na TTP:

• Dostęp do Pastebin/Telegram/niezaufanych CDN z procesów innych niż przeglądarka.
• Tworzenie zadań Harmonogramu, wpisów Run i plików w Startup korelowane z uruchomieniem java.exe.

5. Hunting sieciowy: wykrywaj anomalię ruchu HTTPS z klienta NetSupport (nietypowe SNI/JA3, kierunki rzadkie dla organizacji).
6. Weryfikacja geofencingu: testuj łańcuchy z lokalnym egress IP regionu (np. w bezpiecznej piaskownicy) — kampanie mogą ukrywać payloady poza docelowym krajem.
7. Playbook IR: szybka izolacja hosta, odcięcie zadań NetSupport, unieważnienie poświadczeń używanych na zainfekowanym hoście, przegląd skrzynek ofiar spear-phishingu i łatanie M365/Exchange reguł przekierowań.

Edukacja
8. Szkolenie kontekstowe: ostrzegaj zespoły o podszywaniu się pod ministerstwa sprawiedliwości oraz o fałszywych komunikatach nakazujących instalację Javy lub „wyświetlacz dokumentów”.

Różnice / porównania z innymi przypadkami

W 2025 r. wiele grup używa NetSupport w łańcuchach z ClickFix i innymi wektorami socjotechnicznymi (Run dialog, fałszywe aktualizacje przeglądarki). Bloody Wolf wyróżnia się jednak Java-based loaderami (JAR) i podszywaniem pod resorty sprawiedliwości w Azji Centralnej, a także geofencingiem ograniczającym ekspozycję kampanii.

Podsumowanie / najważniejsze wnioski

• Bloody Wolf rozszerzył zasięg z Kirgistanu na Uzbekistan w październiku 2025 r., utrzymując skuteczność dzięki prostym, ale sprytnym loaderom JAR i nadużyciu NetSupport.
• Geofencing i podszywanie się pod instytucje publiczne zwiększają wiarygodność kampanii i obniżają widoczność dla analityków.
• Organizacje powinny blokować JAR, radykalnie kontrolować RMM, ustawić hunting na TTP (RunKey/Startup/Scheduled Task + java.exe) i monitorować sygnatury/detekcje dla NetSupport.

Źródła / bibliografia

1. The Hacker News: „Bloody Wolf Expands Java-based NetSupport RAT Attacks in Kyrgyzstan and Uzbekistan”, 27 listopada 2025. (The Hacker News)
2. Group-IB: „Bloody Wolf: A Blunt Crowbar Threat To Justice”, 26 listopada 2025 (z Ukuk/Prokuratura KR). (Group-IB)
3. BI.ZONE: „Bloody Wolf evolution: new targets, new tools”, 19 lutego 2025. (BI.ZONE)
4. Red Canary: „NetSupport Manager — Threat Detection Report (trend i powszechność nadużyć)”. (Red Canary)
5. eSentire: „Unpacking NetSupport RAT Loaders Delivered via ClickFix”, 23 października 2025 (dla porównania trendu nadużyć NetSupport). (esentire.com)