Bloody Wolf kampány
A Group-IB jelentése szerint a Bloody Wolf nevű APT-csoport 2025 második felében a korábbi, kész malware-használatot felváltva immár legitim távoli adminisztrációs eszközként ismert NetSupport Manager RAT-et alkalmazza támadásai során, és közép-ázsiai célpontokra — köztük Kazahsztán, Kirgizisztán, Üzbegisztán és orosz szervezetek — összpontosít.
A kompromittálás első lépése spear-phishing-e-mail csatolmányban érkező, kormányzati szervek nevében kiállított PDF-dokumentum — a hivatalos levelek formáját utánozva —, melyben linkek találhatók ügyiratok letöltésére. A linkek JAR-állományokra irányítanak, a felhasználó Java futtatókörnyezet telepítését követően futtatva a JAR-t, az letölti a NetSupport komponenseit és automatikus indítással telepíti azokat a rendszerre.
Korábban az STRRAT, egy olcsó, darkweb fórumokon is megvásárolható Java alapú RAT szolgáltatta a hátteret. Ez a malware jelszólopásra, billentyűnaplózásra és további pluginok futtatására is alkalmas volt. 2025-re azonban a csoport áttért a legitim eszközökre — ezzel jelentősen megnövelve lopási és fenntartási műveletei sikerességét, miközben sokkal nehezebb azonosítani a fertőzést hagyományos biztonsági termékekkel.
A kampány a csali dokumentumokat a célország nyelvén, és gyakran oroszul készülnek, hogy hitelesebbnek tűnjenek. A JAR-loader mögött egyedi generátor áll, amely segítségével a támadók nagy mennyiségben, változatos konfigurációkkal terjeszthetnek fertőző állományokat — mindennapi e-mail forgalomba ágyazva, alacsony zajszinten.
A támadási lánc végén a NetSupport RAT teljes távoli vezérlést tesz lehetővé, fájlok letöltése-feltöltése, jogosultság emelés, adatok exfiltrálása, távvezérlés — mindez hosszú távú rejtett jelenléttel, amit a támadók igény szerint fenntarthatnak. Az eszköz legitim jellege miatt rendszeres EDR- és antivírus megoldások sem feltétlenül érzékelik.
