Seit Mitte 2025 registrieren Sicherheitsforscher eine neue Welle zielgerichteter Cyberangriffe der Hackergruppe Bloody Wolf gegen Organisationen in Zentralasien. Betroffen sind vor allem Finanzinstitute, staatliche Stellen und IT-Unternehmen in Kirgistan und Usbekistan, was die Kampagne zu einem relevanten Risiko für die gesamte regionale Cyberlandschaft macht.
Gezielte Cyberangriffe auf staatliche und finanzielle Einrichtungen in Zentralasien
Analysen von Threat-Intelligence-Anbietern wie Group‑IB zeigen, dass Bloody Wolf mindestens seit Ende 2023 aktiv ist. Zunächst wurden Aktivitäten in Russland und Kasachstan beobachtet, wo die Gruppe die Schadsoftware STRRAT und NetSupport RAT vor allem über Phishing-E-Mails verteilte. Die aktuelle Kampagne markiert nun eine klare Ausweitung auf den zentralasiatischen Raum bei weitgehend unverändertem Taktik- und Toolset.
Im Zentrum steht weiterhin Phishing als primärer Angriffsvektor: Die Täter geben sich als Behördenvertreter aus und versenden vermeintlich offizielle Schreiben mit „wichtigen Dokumenten“, die zum Öffnen eines Anhangs oder zum Klick auf einen Link verleiten. Laut dem Verizon Data Breach Investigations Report 2023 ist die menschliche Komponente in rund drei Viertel aller Sicherheitsvorfälle beteiligt; Phishing gehört dabei weltweit zu den häufigsten Einstiegspunkten in Unternehmensnetze.
Phishing unter dem Deckmantel des Justizministeriums und manipulierte PDF-Dokumente
In den Angriffen auf Kirgistan missbraucht Bloody Wolf das Vertrauen in das Justizministerium der Kirgisischen Republik. Hierzu werden Domains registriert, die offiziellen Regierungsadressen optisch stark ähneln. Über diese Infrastruktur werden PDF-Dokumente verschickt, die wie echte Gerichts- oder Rechtsmitteilungen aussehen, jedoch versteckte Download-Links zu Schadsoftware enthalten.
Die E-Mails sind so formuliert, dass sie Dringlichkeit und rechtliche Verbindlichkeit suggerieren. Dieser gezielte Einsatz von Social-Engineering-Techniken erhöht die Wahrscheinlichkeit, dass Mitarbeitende unter Zeitdruck interne Sicherheitsrichtlinien ignorieren und unbekannte Dateien öffnen – ein Muster, das sich in zahlreichen realen Sicherheitsvorfällen wiederfindet.
Infektionskette über JAR-Dateien und manipulierte Java-Laufzeitumgebung
Die technische Infektionskette ist klar strukturiert: Nach dem Klick auf den Link im PDF wird ein JAR-Archiv (Java-Datei) heruntergeladen. Parallel erhält das Opfer eine Anleitung, eine bestimmte Version der Java Runtime Environment (JRE) zu installieren oder zu aktualisieren – angeblich, um die Dokumente korrekt anzeigen zu können.
Tatsächlich fungiert der JAR-Loader als Downloader für NetSupport RAT. Nach dem Start nimmt er Verbindung zu einem Command-and-Control-Server der Angreifer auf, lädt die Remote-Access-Software nach und richtet eine dauerhafte Präsenz im System ein. Die Persistenz erfolgt über mindestens drei Mechanismen: geplante Aufgaben in Windows, Registry-Einträge und BATCH-Dateien im Autostart. Diese mehrschichtige Verankerung erschwert sowohl die Erkennung als auch die vollständige Bereinigung im Incident-Response-Fall erheblich.
NetSupport RAT: legitime Fernwartungssoftware als Angriffswaffe
NetSupport RAT ist ursprünglich ein legitimes Tool für Fernwartung und IT-Support. In falschen Händen wird die Software jedoch zu einem vollwertigen Remote-Access-Trojaner: Angreifer können den Desktop kontrollieren, Dateien kopieren, weitere Malware installieren und sich lateral im Netzwerk bewegen. Vergleichbare Missbrauchsszenarien werden regelmäßig in Berichten europäischer Behörden wie ENISA und nationaler CERTs dokumentiert.
Auffällig ist, dass Bloody Wolf keine aktuelle Version von NetSupport einsetzt, sondern eine Build-Variante aus Oktober 2013. Auch die Loader basieren auf einer veralteten Java‑8-Version aus 2014. Dies deutet auf eigene Generatoren oder automatisierte Templates der Gruppe hin und unterstreicht einen wichtigen Punkt: Für erfolgreiche, zielgerichtete Angriffe sind nicht zwingend Zero-Day-Exploits oder moderne Schadframeworks notwendig. Oft reichen etablierte, kommerzielle oder ältere Tools, sofern Social Engineering und Zielauswahl professionell umgesetzt sind.
Geofencing in Angriffen auf Organisationen in Usbekistan
Bei Angriffen auf Unternehmen in Usbekistan setzt Bloody Wolf gezielt auf Geofencing. Anfragen von IP-Adressen außerhalb des Landes, die auf die in PDF-Dateien eingebetteten Links zugreifen, werden unauffällig auf den legitimen Regierungsdienst data.egov.uz umgeleitet. Aus Sicht externer Analysten oder automatisierter Scans wirken die Links dadurch harmlos.
Nur Zugriffe aus Usbekistan folgen der eigentlichen Infektionslogik: Die Nutzer werden auf eine Ressource weitergeleitet, die erneut einen JAR-Loader mit Malware ausliefert. Diese geografische Filterung erschwert die Entdeckung der Kampagne durch internationale Forschungszentren und Antivirus-Anbieter, die ihre Analysen häufig von global verteilten, nicht-uzbekischen IP-Netzen aus durchführen.
Risiken für Unternehmen und priorisierte Sicherheitsmaßnahmen
Die Kampagne von Bloody Wolf zeigt eindrücklich, dass kommerzielle und veraltete Werkzeuge in Kombination mit präzisem Social Engineering ein ähnlich hohes Gefährdungspotenzial haben wie moderne Trojaner oder Exploit-Kits. Gelangt ein solcher Remote-Access-Trojaner in das Netzwerk einer Bank oder Behörde, drohen Datendiebstahl, unautorisierte Finanztransaktionen, Ausspähung sensibler Regierungsdaten und potenzielle Supply-Chain-Angriffe auf Partnerorganisationen.
Zur Risikoreduzierung sollten Sicherheitsverantwortliche in Kirgistan, Usbekistan und der gesamten Region insbesondere folgende Maßnahmen prüfen und priorisieren:
- E-Mail-Sicherheit stärken: Strikte Filterung eingehender Nachrichten, Blockierung von JAR-, Script- und ausführbaren Dateien sowie konsequente Nutzung von Sandboxing und DMARC, SPF und DKIM.
- Java einschränken: Einsatz der Java Runtime auf Arbeitsplätzen auf das absolut notwendige Minimum begrenzen; wo möglich, vollständige Deinstallation oder Virtualisierung in isolierten Umgebungen.
- EDR und Verhaltensanalyse: Moderne Endpoint-Detection-and-Response-Lösungen einsetzen, die ungewöhnliche Nutzung legitimer Remote-Admin-Tools wie NetSupport RAT erkennen können.
- Persistenzpunkte überwachen: Kontinuierliches Monitoring von geplanten Aufgaben, Autostart-Ordnern und kritischen Registry-Schlüsseln, inklusive Alarmierung bei verdächtigen Änderungen.
- Sensibilisierung der Mitarbeitenden: Regelmäßige Schulungen zu Phishing, gefälschten Behörden-Schreiben und Social Engineering, ergänzt durch simulierte Phishing-Kampagnen, insbesondere für Fachbereiche mit enger Interaktion zu Aufsichtsbehörden und Gerichten.
Die Ausweitung der Aktivitäten von Bloody Wolf in Zentralasien verdeutlicht, dass die Region zunehmend ins Visier professioneller Cyberkrimineller rückt. Organisationen sollten Bedrohungsberichte aktiv verfolgen, veraltete und riskante Komponenten wie alte Java-Versionen konsequent reduzieren, ihre Incident-Response-Prozesse testen und die Reaktionsfähigkeit der Belegschaft gegenüber Phishing realistisch prüfen. Wer diese Angriffe frühzeitig erkennt und eindämmt, senkt nicht nur finanzielle und regulatorische Risiken, sondern stärkt nachhaltig die eigene Cyber-Resilienz im digitalen Ökosystem der Region.
