Il gruppo di cybercriminali noto come Bloody Wolf ha recentemente intensificato la propria attività, lanciando una nuova campagna di attacchi informatici mirati prima al Kirghizistan e, più recentemente, anche all’Uzbekistan. L’obiettivo di questi attacchi è la distribuzione del malware NetSupport RAT, uno strumento di accesso remoto ampiamente usato nel mondo del cybercrime per controllare da remoto i computer delle vittime.

Caratteristiche delle campagne di Bloody Wolf

Le campagne di Bloody Wolf si caratterizzano per l’uso combinato di tecniche di social engineering e strumenti facilmente reperibili. I criminali si fingono istituzioni governative, come il Ministero della Giustizia del Kirghizistan, inviando email di phishing con allegati PDF apparentemente ufficiali. Questi documenti rimandano poi a domini malevoli che ospitano file Java Archive (JAR) infetti, sviluppati appositamente per avviare il download e l’installazione del NetSupport RAT.

Tecniche di attacco e vettori d’infezione

Uno degli aspetti più ingegnosi di questa campagna è la capacità dei cybercriminali di mantenere un basso profilo operativo, sfruttando strumenti pubblici e tecniche di social engineering che rendono difficile l’individuazione e il blocco degli attacchi. Il vettore di attacco prevede che le vittime, spesso appartenenti ai settori della finanza, del governo e dell’IT, ricevano istruzioni per installare Java Runtime, apparentemente necessario per visualizzare i documenti ricevuti. In realtà, questa installazione serve solo a permettere l’esecuzione del loader malevolo.

Il loader Java, una volta eseguito, scarica il payload successivo, cioè NetSupport RAT, da infrastrutture controllate dagli attaccanti e garantisce la persistenza del malware sul sistema utilizzando vari metodi: la creazione di task pianificati, la modifica di chiavi di registro di Windows e il posizionamento di script batch nelle cartelle di avvio dell’utente.

Geofencing e tecniche avanzate

La fase dell’attacco rivolta all’Uzbekistan presenta ulteriori misure di geofencing: solo le richieste provenienti realmente dal territorio uzbeko vengono reindirizzate al download del file infetto, mentre l’accesso da altri paesi viene dirottato verso siti governativi legittimi. Questo accorgimento rende la campagna ancora più mirata e difficile da individuare dall’esterno.

Analisi dei file JAR e strumenti utilizzati

Gli analisti hanno rilevato che i file JAR utilizzati sono realizzati con Java 8 e che i criminali potrebbero servirsi di generatori o template appositi per crearli. Anche la versione del NetSupport RAT distribuita risulta obsoleta, elemento che testimonia l’orientamento verso strumenti a basso costo ma comunque efficaci.

Bloody Wolf dimostra come la combinazione di social engineering, strumenti pubblici e tecniche di phishing possa mettere a dura prova la sicurezza dei sistemi informatici, sottolineando l’importanza di una formazione costante contro le minacce informatiche e di una strategia di difesa aggiornata.