Um sofisticado grupo de ameaças persistentes avançadas conhecido como Bloody Wolf intensificou as suas operações de espionagem cibernética em toda a Ásia Central, visando os setores governamental e privado.
Desde o final de junho de 2025, o grupo orquestrou campanhas de spear-phishing focadas principalmente em organizações no Quirguistão e no Uzbequistão.
Ao fazerem-se passar meticulosamente por entidades estatais, como o Ministério da Justiça, os atacantes conseguem enganar as vítimas para que comprometam os seus sistemas.
O vetor principal envolve documentos PDF armados enviados por e-mail, imitando correspondência oficial. Esses documentos geralmente trazem títulos que sugerem questões jurídicas urgentes ou materiais de casos, obrigando os destinatários a interagir com links incorporados.
Uma vez clicados, esses links iniciam um processo de infecção em vários estágios, projetado para contornar as defesas de segurança tradicionais e estabelecer acesso de longo prazo à rede da vítima.
Os analistas de segurança do Grupo-IB identificaram esse aumento, observando que o grupo mudou de malware comercial como o STRRAT para a implantação da ferramenta de administração remota NetSupport legítima, mas armada.
Esse pivô estratégico permite que os invasores se misturem ao tráfego administrativo normal, tornando a detecção significativamente mais desafiadora para as equipes de segurança corporativa.
As campanhas demonstram um elevado nível de adaptação regional, incluindo a utilização de línguas locais e técnicas de delimitação geográfica para restringir a entrega de carga útil a alvos em países específicos.
O impacto é profundo, concedendo aos invasores controle remoto total sobre os endpoints infectados. Esse acesso facilita a exfiltração de dados, a vigilância do inventário do sistema e a movimentação lateral dentro de redes de infraestrutura crítica.
Cadeia de infecção
A estratégia técnica do Bloody Wolf depende de arquivos Java Archive maliciosos para executar a carga útil. As vítimas que interagem com a isca são solicitadas a atualizar o Java, um pretexto que mascara a execução do carregador malicioso.
Os arquivos JAR, compilados com Java 8, não são ofuscados, mas são altamente eficazes. Na campanha do Uzbequistão, a infraestrutura empregou cercas geográficas, onde apenas os pedidos provenientes de dentro do país desencadearam o download do JAR malicioso, enquanto outros foram redirecionados para portais governamentais legítimos.
Código de funções de persistência (Fonte – Grupo-IB)
Uma vez executado, o carregador JAR garante a persistência através de métodos redundantes. O malware coloca um arquivo em lote na pasta de inicialização do Windows e modifica as chaves de registro, executando comandos como cmd.exe para garantir que o RAT seja iniciado na reinicialização.
Pop-ups de mensagens de erro falsas (Fonte – Grupo-IB)
Além disso, cria uma tarefa agendada usando schtasks para garantir a execução. Essa redundância garante que o NetSupport RAT permaneça ativo no sistema, permitindo que os invasores mantenham uma posição persistente enquanto exibem mensagens de erro falsas, para distrair o usuário da atividade maliciosa em segundo plano.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
