Bloody Wolf (Stan Ghouls) uderza w Uzbekistan i Rosję: spear-phishing z NetSupport RAT i ślady możliwego zainteresowania IoT

Wprowadzenie do problemu / definicja luki

Kampanie spear-phishingowe wykorzystujące „legalne” narzędzia zdalnej administracji (RMM/RAT-like) to dziś jeden z najtrudniejszych do obrony scenariuszy. Z perspektywy SOC ruch i pliki mogą wyglądać „normalnie”, bo atakujący nadużywa komercyjnego systemu (np. NetSupport Manager), a złośliwość przenosi do warstwy dostarczenia (loader, phishing, persistence). Właśnie taki model obserwujemy w świeżej kampanii przypisywanej grupie Bloody Wolf, śledzonej przez Kaspersky jako Stan Ghouls.

W skrócie

• Celem kampanii są głównie Uzbekistan (~50 ofiar) i Rosja (~10 urządzeń), z pojedynczymi infekcjami m.in. w Kazachstanie oraz „odpryskami” w Turcji, Serbii i na Białorusi.
• Wejście początkowe: spear-phishing z PDF zawierającym linki prowadzące do pobrania złośliwego loadera (Java), który finalnie instaluje NetSupport RAT.
• Loader implementuje mechanizmy „quality gate”, m.in. limit prób instalacji oraz fałszywy komunikat błędu dla zmylenia ofiary.
• Persistence: Startup folder + klucz Run w rejestrze + scheduled task uruchamiany przy logowaniu.
• Kaspersky odnotował też pliki Mirai na infrastrukturze powiązanej z kampaniami grupy (wniosek ostrożny, z niską pewnością).

Kontekst / historia / powiązania

Stan Ghouls/Bloody Wolf działa co najmniej od 2023 r., a w profilu ofiar dominują sektory: przemysł/produkcja, finanse, IT.
Istotny jest też zwrot narzędziowy: wcześniej grupa była łączona z STRRAT (Strigoi Master), natomiast w nowszych kampaniach coraz częściej bazuje na NetSupport jako „legalnym” kliencie zdalnego dostępu, dogrywanym przez własne loadery.

Group-IB opisywał podobny schemat (spear-phishing + PDF podszywający się pod instytucje i „materiały sprawy”), co wzmacnia atrybucję i pokazuje ciągłość TTP.

Analiza techniczna / szczegóły luki

1) Łańcuch infekcji (end-to-end)

1. E-mail spear-phishing z załącznikiem PDF.
2. PDF zawiera osadzone linki (pretekst: dokumenty urzędowe, materiały sprawy, decyzje itp.).
3. Kliknięcie linku prowadzi do pobrania loadera (w analizach opisywany jako „custom Java-based loader”).
4. Loader:
   • wyświetla fałszywy błąd (maskowanie),
   • sprawdza limit prób instalacji (np. do 3),
   • pobiera komponenty NetSupport RAT z listy domen i uruchamia.

2) Persistence i uruchamianie po restarcie

Kaspersky opisał trzy równoległe mechanizmy utrzymania się:

• skrypt BAT w Startup folder (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup),
• wpis w HKCU\Software\Microsoft\Windows\CurrentVersion\Run,
• scheduled task typu ONLOGON wskazujący na run.bat.

To „potrójne” podejście zwiększa odporność na częściowe czyszczenie (np. usunięcie jednego artefaktu).

3) C2/infra i domeny

Loadery zwykle zawierają listy domen i iterują po nich, aż trafią na aktywną. W opublikowanych wskaźnikach pojawiają się m.in. domeny stylizowane na lokalne instytucje (np. podatkowe/urzędowe).

4) NetSupport jako „RAT”

Z punktu widzenia obrońcy najważniejsze jest to, iż NetSupport Manager jest legalnym narzędziem zdalnego dostępu, ale jego „złośliwe warianty/użycia” dają atakującym nieautoryzowany zdalny dostęp, w tym możliwość eksfiltracji danych, obserwacji użytkownika i ruchu bocznego.

5) Wątek Mirai (IoT)

Kaspersky odnalazł na infrastrukturze powiązanej z kampaniami pliki przypisywane do Mirai. Zastrzeżono jednak, iż to może oznaczać zarówno rozszerzenie arsenału, jak i współdzielenie infrastruktury z innymi aktorami.

Praktyczne konsekwencje / ryzyko

• Ryzyko finansowe: ukierunkowanie na sektor finansowy sugeruje motyw „profit”, choć równoległe użycie RAT-ów może wspierać też scenariusze szpiegowskie.
• Trudniejsza detekcja: legalne komponenty NetSupport mogą przechodzić przez mniej restrykcyjne polityki (zwłaszcza jeżeli organizacja dopuszcza RMM).
• Skalowalność operacji: ponad 60 trafionych celów to jak na kampanię „targeted” wysoki wolumen, sugerujący zasoby do utrzymania równoległych sesji zdalnych.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

• Blokady na poziomie DNS/Proxy dla domen i hostów wskazanych w IoC (oraz ich wariantów typosquat).
• Hunt na endpointach pod kątem:
  • nietypowych BAT w Startup folder,
  • wpisów w HKCU\...\Run,
  • zadań schtasks uruchamianych ONLOGON wskazujących na run.bat lub podobne ścieżki w %AppData%.
• Weryfikacja, czy w środowisku NetSupport jest w ogóle dopuszczony. jeżeli nie: dodaj do listy „deny” (AppLocker/WDAC) i reguł EDR.

Utwardzanie (1–4 tyg.)

• Hardening poczty: sandbox dla PDF, detekcja URL w załącznikach, blokowanie nietypowych skrótów/treści zachęcających do „materiałów sprawy” i pilnych działań.
• Ograniczenie uruchamiania JAR/Java na stacjach, gdzie nie jest to biznesowo potrzebne (to typowy punkt zaczepienia w tych kampaniach).
• Segmentacja i least privilege: choćby „tylko RAT” potrafi gwałtownie przejść do ruchu bocznego, jeżeli host ma szerokie uprawnienia.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Od STRRAT do RMM-abuse: wcześniejsze kampanie Bloody Wolf były kojarzone z klasycznym malware (STRRAT), a nowsze pokazują dojrzały trend „living-off-the-land / living-off-legit tools”, gdzie trzonem jest komercyjny klient zdalny, a unikalność daje własny loader i infrastruktura.
• Podobieństwo do wielu rodzin kampanii phishingowych: PDF jako nośnik linków + etapowy downloader/loader to wzorzec, który dobrze skaluje się operacyjnie i utrudnia blokowanie (URL rotują, domeny się zmieniają).

Podsumowanie / najważniejsze wnioski

Kampania Bloody Wolf/Stan Ghouls przeciw Uzbekistanowi i Rosji to przykład skutecznego połączenia precyzyjnego spear-phishingu z nadużyciem legalnego narzędzia zdalnego dostępu (NetSupport). Największą przewagą atakujących jest mieszanie „normalności” (komercyjne RMM) z własnym łańcuchem dostarczenia i persistence. Dla obrony oznacza to konieczność łączenia telemetrii e-mail + endpoint + DNS oraz jasnych polityk, które RMM są dozwolone, a które powinny być blokowane.

Źródła / bibliografia

1. The Hacker News — Bloody Wolf Targets Uzbekistan, Russia Using NetSupport RAT in Spear-Phishing Campaign (Feb 9, 2026). (The Hacker News)
2. Kaspersky Securelist — Stan Ghouls attacks in Russia and Uzbekistan: NetSupport RAT and potential IoT interest (Feb 2026). (Securelist)
3. BI.ZONE — Bloody Wolf evolution: new targets, new tools (Feb 19, 2025). (BI.ZONE)
4. Group-IB — Bloody Wolf: A Blunt Crowbar Threat To Justice (Nov 2025). (Group-IB)
5. Microsoft Security Intelligence — Trojan:Win32/NetSupportRat!MTB threat description (Updated Sep 18, 2025). (Microsoft)