血腥之狼扩大Java版NetSupport RAT攻击，瞄准吉尔吉斯斯坦与乌兹别克斯坦

一个被称为“血腥之狼”(Bloody Wolf)的威胁行为者被指认发起了一场网络攻击活动，该活动自2025年6月起至少以吉尔吉斯斯坦为目标，旨在投递NetSupport远程访问木马(RAT)。

截至2025年10月，Group-IB的研究人员Amirbek Kurbanov和Volen Kayo在与吉尔吉斯共和国总检察长办公室下属国有企业Ukuk合作发布的一份报告中表示，该活动已扩大至同样针对乌兹别克斯坦。攻击目标涵盖了金融、政府和信息技术部门。

这家总部位于新加坡的公司表示：“这些威胁行为者会通过看起来官方的PDF文档和域名来冒充[吉尔吉斯斯坦的]司法部，而这些域名又托管着旨在部署NetSupport RAT的恶意Java存档文件。”“这种社会工程与易用工具的结合，使得血腥之狼在保持低调运作的同时，仍能保持攻击的有效性。”

血腥之狼是一个来源不明的黑客组织的名称，该组织曾使用STRRAT和NetSupport等工具，通过鱼叉式网络钓鱼攻击哈萨克斯坦和俄罗斯的实体。据评估，该组织自2023年底以来一直活跃。

使用类似的初始访问技术来针对吉尔吉斯斯坦和乌兹别克斯坦，标志着该威胁行为者在中亚地区的业务扩张。他们主要在钓鱼邮件中冒充受信任的政府部门，分发武器化链接或附件。

攻击链大致遵循相同的方法：邮件收件人被诱骗点击链接，以下载恶意Java存档加载程序文件以及安装Java运行环境的说明。

虽然邮件声称安装该程序是查看文档所必需的，但实际上它是用来执行加载程序的。一旦启动，加载程序便会继续从攻击者控制的基础设施中获取下一阶段的有效载荷，并通过三种方式建立持久性：

该活动在乌兹别克斯坦阶段的一个显著特点是加入了地理围栏限制，从而导致来自该国以外的请求被重定向到合法的data.egov[.]uz网站。而来自乌兹别克斯坦境内的请求则被发现会触发从PDF附件中的嵌入式链接下载JAR文件。

Group-IB表示，在这些活动中观察到的JAR加载程序是使用2014年3月发布的Java 8构建的。据信，攻击者正在使用定制的JAR生成器或模板来生成这些构件。NetSupport RAT有效载荷是2013年10月发布的NetSupport Manager的旧版本。

报告指出：“血腥之狼展示了如何将低成本、商业化的工具武器化，用于复杂的、针对特定区域的网络攻击行动。”“通过利用对政府机构的信任并利用基于JAR的简单加载程序，该组织继续在中亚威胁环境中保持强大的立足点。”