Il gruppo di cybercriminali noto come Bloody Wolf ha recentemente intensificato le sue attività di attacco informatico, prendendo di mira i settori finanziario, governativo e IT di Kirghizistan e Uzbekistan. Dall’estate 2025, Bloody Wolf utilizza campagne di phishing mirate che si presentano come comunicazioni ufficiali del Ministero della Giustizia kirghiso, diffondendo allegati PDF e domini simili a quelli istituzionali. Questi allegati contengono file JAR malevoli sviluppati in Java, progettati per installare il noto malware di accesso remoto NetSupport RAT.
I ricercatori di Group-IB hanno rilevato che, a partire da ottobre 2025, la campagna ha esteso il proprio raggio d’azione anche sull’Uzbekistan. In questo caso, sono state adottate tecniche di geofencing: solo le richieste provenienti da indirizzi IP uzbeki vengono indirizzate al download dannoso del file JAR, mentre gli accessi dall’estero vengono reindirizzati verso siti governativi autentici. Questo stratagemma consente agli attaccanti di eludere il rilevamento e aumentare le possibilità di successo delle infezioni locali.
Il modus operandi di Bloody Wolf combina social engineering e strumenti facilmente reperibili, mantenendo un profilo operativo basso ma efficace. Le email di phishing persuadono le vittime a scaricare e avviare file JAR, spesso fornendo istruzioni per installare il Java Runtime, apparentemente necessario per visualizzare i documenti. In realtà, l’installazione serve ad attivare il loader che scarica NetSupport RAT da server controllati dagli attaccanti.
Il malware NetSupport RAT, in questa campagna, è una versione obsoleta di NetSupport Manager risalente al 2013. Una volta installato, garantisce la persistenza nel sistema attraverso tre metodi: la creazione di un’attività pianificata, la modifica del registro di Windows e il posizionamento di uno script batch nella cartella di avvio dell’utente. Queste tecniche assicurano che il malware sia eseguito ogni volta che la vittima accende il computer.
Secondo gli analisti, Bloody Wolf dimostra come strumenti commerciali economici possano essere trasformati in armi sofisticate per attacchi regionali mirati. L’abuso della fiducia verso le istituzioni pubbliche e l’utilizzo di loader Java semplici ma efficaci hanno permesso al gruppo di consolidare la propria presenza nel panorama delle minacce dell’Asia Centrale. La continua evoluzione delle tattiche di Bloody Wolf rappresenta una sfida concreta per la sicurezza informatica di enti pubblici e privati nella regione.