Хакеры из Bloody Wolf стали атаковать организации в Узбекистане

Хакерская группа Bloody Wolf усилила активность в Центральной Азии, нацелившись на организации в Узбекистане и Кыргызстане, сообщает компания в сфере информационной безопасности Group-IB. 

Злоумышленники рассылают фишинговые письма, маскируясь под государственные органы, и прикрепляют вредоносные PDF-документы, которые содержит ссылку на JAR-файл с загрузчиком клиента NetSupport. 

По данным Group-IB, всплеск таких атак фиксируется с конца июня 2025 года. В Кыргызстане злоумышленники выдавали себя за Министерство юстиции, рассылая «официальные» документы и ссылки на домены, визуально схожие с реальными порталами госорганов. Внутри PDF-файлов был скрыт JAR-файл, запускающий цепочку заражения и устанавливающий NetSupport RAT для получения удаленного доступа. 

Расследование Group-IB показало, что атаки были направлены на госучреждения, финансовые организации и ИТ-компании Кыргызстана.

К началу октября 2025 года хакеры расширили кампанию на Узбекистан. Здесь они использовали аналогичные методы, но добавили геофенсинг. При открытии вредоносной ссылки из Узбекистана пользователю выдавался зараженный JAR, тогда как пользователи из других стран перенаправлялись на легитимный сайт data.egov.uz. 

Механизм заражения остается неизменным. Получателю приходит письмо с требованием скачать «необходимые документы» и установить Java Runtime. На деле JAR-файл является загрузчиком, который скачивает NetSupport RAT и закрепляет его в системе, создавая задачу в планировщике, прописываясь в реестре и добавляя BAT-файл в автозагрузку. 

Эксперты отмечают, что злоумышленники используют устаревшую Java 8 (2014 года) и старую версию NetSupport Manager (2013 года), что указывает на применение недорогих, доступных инструментов.