نفوذ Bloody Wolf در آسیای مرکزی با کم‌هزینه‌ترین ترفندها

طبق یک گزارش امنیتی، گروه هکری Bloody Wolf مدتی است که نهادهای قرقیزستان را برای استقرار ابزار کنترل از راه دور NetSupport RAT هدف قرار داده است.

به گزارش افتانا، گزارش‌های تازه نشان می‌دهد گروه تهدید Bloody Wolf از ژوئن ۲۰۲۵ کارزار جدیدی را علیه نهادهای دولتی و اقتصادی قرقیزستان آغاز کرده است؛ کارزاری که هدف اصلی آن استقرار بدافزار کنترل از راه دور NetSupport RAT است. طبق گزارش منتشر شده توسط پژوهشگران Group-IB و دفتر دادستان کل جمهوری قرقیزستان ، این فعالیت‌ها از اکتبر ۲۰۲۵ به سمت ازبکستان نیز گسترش یافته‌اند. این حملات بخش‌های مالی، دولتی و فناوری اطلاعات را هدف گرفته‌اند.

این شرکت مستقر در سنگاپور اعلام کرد: مهاجمان با جعل هویت وزارت دادگستری قرقیزستان از طریق اسنادبه PDF به‌ظاهر رسمی‌ و دامنه‌های جعلی، اقدام به میزبانی فایل‌های مخرب JAR می‌کردند که برای استقرار NetSupport RAT طراحی شده بودند. این ترکیب مهندسی اجتماعی و ابزارهای در دسترس، به Bloody Wolf اجازه داده است ردپای کمی از خود بر جای بگذارد و همچنان کارآمد باقی بماند.

گروه Bloody Wolf یک گروه هکری با منشاء نامشخص است که با حملات فیشینگ هدفمند، سازمان‌هایی را در قزاقستان و روسیه هدف قرار داده و از ابزارهایی مانند STRRAT و NetSupport استفاده کرده است. فعالیت این گروه دست‌کم از اواخر ۲۰۲۳ ردیابی شده است. هدف‌گیری قرقیزستان و ازبکستان با استفاده از روش‌های مشابه دسترسی اولیه، بیانگر گسترش عملیات این گروه در آسیای مرکزی است؛ جایی که مهاجمان با جعل هویت نهادهای دولتی معتبر، لینک‌ها یا پیوست‌های آلوده را برای قربانیان ارسال می‌کنند.

زنجیره حملات مورد استفاده تقریباً ساختاری یکسان دارد: گیرندگان ایمیل‌ها ترغیب می‌شوند روی لینک‌هایی کلیک کنند که فایل‌های JAR مخرب را همراه با دستورالعمل نصب Java Runtime دانلود می‌کند. این کارزار در ازبکستان، ویژگی قابل‌توجهی دارد: استفاده از محدودیت‌های جغرافیایی. در این حالت، درخواست‌هایی که از خارج از ازبکستان ارسال می‌شود به وب‌سایت قانونی data.egov[.]uz هدایت می‌شود؛ اما درخواست‌های داخلی باعث دانلود مستقیم فایل JAR از لینک تعبیه‌شده در PDF می‌شود. گروه Group-IB اعلام کرده است که بارگذارهای JAR مشاهده‌شده در این حملات با Java 8 ساخته شده‌اند (نسخه منتشرشده در مارس ۲۰۱۴) و احتمال می‌رود مهاجمان از یک مولد اختصاصی JAR یا یک قالب از پیش آماده برای ساخت این فایل‌ها استفاده می‌کنند. بدافزار NetSupport مورد استفاده نیز نسخه‌ای قدیمی و متعلق به اکتبر ۲۰۱۳ است.

در جمع‌بندی این گزارش آمده است: Bloody Wolf نشان داده است که چگونه ابزارهای کم‌هزینه و تجاری در دسترس می‌توانند در قالب عملیات سایبری پیچیده و هدفمند منطقه‌ای مورد سوءاستفاده قرار گیرند. این گروه با سوءاستفاده از اعتماد عمومی به نهادهای دولتی و به‌کارگیری ابزارهای ساده مبتنی بر JAR، همچنان جایگاه خود را در تهدیدات آسیای مرکزی تقویت کرده است.