گسترش حملات NetSupport RAT مبتنی بر جاوا توسط Bloody Wolf در قرقیزستان و ازبکستان

عامل تهدید موسوم به Bloody Wolf به یک کمپین حمله سایبری نسبت داده شده است که حداقل از ژوئن ۲۰۲۵ قرقیزستان را با هدف ارائه NetSupport RAT هدف قرار داده است.

محققان Group-IB در گزارشی گفتند که این فعالیت از اکتبر ۲۰۲۵ به ازبکستان نیز گسترش یافته است. این حملات بخش‌های مالی، دولتی و فناوری اطلاعات (IT) را هدف قرار داده‌اند. عوامل تهدید Bloody Wolf از طریق اسناد PDF و نام‌های دامنه‌ به ظاهر رسمی و با جا زدن خود به عنوان وزارت دادگستری، میزبان فایل‌های آرشیو جاوا (JAR) مخرب هستند که جهت استقرار NetSupport RAT طراحی شده‌اند. این ترکیب مهندسی اجتماعی و ابزارهای قابل دسترس به Bloody Wolf اجازه می‌دهد تا ضمن حفظ وجهه عملیاتی پایین، همچنان مؤثر باقی بماند. Bloody Wolf یک گروه هکری با منشأ ناشناخته است که با استفاده از ابزارهایی مانند STRRAT و NetSupport از حملات فیشینگ نیزه‌ای برای هدف قرار دادن نهادهایی در قزاقستان و روسیه استفاده کرده است. بر اساس ارزیابی‌ها گروه مذکور حداقل از اواخر سال 2023 فعال بوده است.

هدف قرار دادن قرقیزستان و ازبکستان با استفاده از تکنیک‌های دسترسی اولیه مشابه، بیانگر گسترش عملیات Bloody Wolf در آسیای مرکزی است که با جعل وزارتخانه‌های دولتی مورد اعتماد در ایمیل‌های فیشینگ، لینک‌ها یا پیوست‌های مخرب را توزیع می‌کند. زنجیره‌های حمله کم و بیش از یک رویکرد پیروی می‌کنند، بدین صورت که با فریب دادن گیرندگان پیام برای کلیک کردن روی لینک‌های مخرب، دانلود فایل‌های بارگذاری آرشیو جاوا (JAR) مخرب به همراه دستورالعمل‌هایی برای نصب Java Runtime صورت می‌گیرد. به گفته Group-IB، لودرهای JAR مشاهده‌ شده در این کمپین‌ها با جاوا ۸ ساخته شده‌اند که در مارس ۲۰۱۴ منتشر شد. اعتقاد بر این است که مهاجمان از یک مولد یا الگوی JAR سفارشی برای ایجاد این ابزارها استفاده می‌کنند و پیلود داده NetSupport RAT نیز نسخه قدیمی NetSupport Manager از اکتبر ۲۰۱۳ است.

https://thehackernews.com/2025/11/bloody-wolf-expands-java-based.html