El grupo de amenazas Bloody Wolf ha iniciado una nueva ola de ciberataques dirigidos contra organizaciones en Asia Central, con especial foco en Kirguistán y Uzbekistán. Desde junio de 2025 la actividad se centra en Kirguistán y, desde octubre, la campaña se ha extendido a Uzbekistán, afectando principalmente a entidades financieras, organismos gubernamentales y empresas de TI, sectores críticos para la estabilidad digital de la región.
Bloody Wolf y la expansión regional de sus operaciones en Asia Central
Los analistas sitúan la actividad de Bloody Wolf al menos desde finales de 2023. Sus primeras campañas se observaron en Rusia y Kazajistán, donde distribuían malware como STRRAT y NetSupport RAT mediante correos de phishing. La operación actual refleja una expansión geográfica planificada en Asia Central, manteniendo las mismas tácticas probadas y un conjunto de herramientas relativamente sencillo, pero eficaz.
El vector de entrada continúa siendo el phishing dirigido: los atacantes se hacen pasar por instituciones oficiales y envían correos con “documentos urgentes” o notificaciones legales que inducen al destinatario a abrir un adjunto o pulsar en un enlace. Este enfoque se alinea con los principales informes del sector (como Verizon DBIR), que sitúan al phishing entre los métodos de acceso inicial más utilizados en incidentes de seguridad a nivel global.
Phishing gubernamental y PDF falsos contra organizaciones de Kirguistán
En la campaña contra Kirguistán, Bloody Wolf suplantan al Ministerio de Justicia de la República Kirguisa. Registran dominios muy similares a los oficiales y envían documentos PDF fraudulentos que aparentan ser notificaciones judiciales o comunicados legales legítimos. En realidad, el PDF contiene un enlace que redirige a la descarga de un archivo malicioso.
Los mensajes de correo suelen incluir expresiones de urgencia y obligatoriedad, aumentando la presión psicológica sobre el usuario. Este tipo de ingeniería social busca que el empleado priorice la “urgencia” del trámite frente a los procedimientos internos de ciberseguridad, y que termine ejecutando un fichero que no ha sido verificado por los controles corporativos.
Cadena de infección: JAR maliciosos, Java y NetSupport RAT
Al seguir el enlace del PDF, la víctima descarga un archivo JAR (Java ARchive) acompañado de instrucciones para instalar o actualizar Java Runtime, bajo el pretexto de ser necesario para visualizar los documentos. En realidad, el objetivo del cargador es descargar y ejecutar NetSupport RAT desde un servidor remoto controlado por los atacantes.
Mecanismos de persistencia y abuso de software legítimo
Una vez ejecutado, el JAR se conecta al servidor de mando y control, descarga NetSupport RAT y lo persiste en el sistema. Los investigadores describen al menos tres mecanismos de persistencia: tareas programadas de Windows, entradas en el Registro y creación de ficheros BAT en la carpeta de inicio automático. Esta estrategia en capas dificulta la erradicación completa del malware y aumenta la resiliencia de la intrusión.
NetSupport RAT es, en origen, una solución legítima de soporte remoto, pero en este contexto se utiliza como herramienta de acceso remoto para fines maliciosos. Tras el compromiso, los atacantes pueden tomar el control del puesto, exfiltrar documentos, desplegar más malware y desplazarse lateralmente dentro de la red corporativa. Llama la atención que Bloody Wolf emplea una versión antigua de NetSupport (de 2013) y JAR construidos sobre una versión obsoleta de Java 8, lo que sugiere el uso de plantillas o generadores propios y demuestra que no siempre son necesarios exploits avanzados para ejecutar ataques dirigidos de alto impacto.
Geofencing y evasión en las campañas contra Uzbekistán
En Uzbekistán, Bloody Wolf introduce una capa adicional de sigilo mediante geofencing, es decir, filtrado de tráfico en función de la geolocalización del usuario. Si la petición a la URL maliciosa se realiza desde fuera del país, la víctima es redirigida al portal gubernamental legítimo data.egov.uz, de modo que la infraestructura maliciosa pasa desapercibida ante analistas externos y sistemas automatizados.
Cuando el acceso procede desde direcciones IP ubicadas en Uzbekistán, el comportamiento es distinto: el enlace incrustado en el PDF conduce a la descarga del JAR malicioso. Esta lógica selectiva dificulta el análisis por parte de laboratorios internacionales y motores antivirus, que a menudo utilizan nodos de análisis situados en otros países.
Impacto para bancos y organismos públicos y cómo reforzar la ciberseguridad
La campaña de Bloody Wolf evidencia que el uso de herramientas comerciales y componentes obsoletos —como Java desactualizado o software de administración remota— puede resultar tan peligroso como los troyanos de última generación. En combinación con un buen conocimiento del contexto local y técnicas de ingeniería social convincentes, un simple cargador JAR se convierte en una puerta de entrada efectiva a redes de bancos, agencias estatales y proveedores tecnológicos.
Para reducir la superficie de ataque, se recomiendan medidas prioritarias para organizaciones de Kirguistán, Uzbekistán y el resto de Asia Central, entre ellas: reforzar la filtración de correo electrónico y el bloqueo de adjuntos JAR y ejecutables; limitar o deshabilitar Java Runtime en puestos donde no sea estrictamente necesario; desplegar soluciones EDR y antimalware con análisis de comportamiento capaces de detectar uso anómalo de herramientas de administración remota como NetSupport; y monitorizar de forma continua cambios en tareas programadas, claves de Registro y elementos de inicio automático, que son puntos típicos de persistencia de malware.
Un pilar esencial es el entrenamiento periódico de los empleados para reconocer correos de phishing, especialmente en áreas que interactúan a diario con ministerios, reguladores financieros y otros organismos oficiales. Invertir en concienciación, actualizar políticas de seguridad, reducir la dependencia de tecnologías obsoletas y probar regularmente la respuesta ante incidentes son pasos clave para elevar la ciberresiliencia. Las organizaciones que detecten y contengan de forma temprana campañas como la de Bloody Wolf minimizarán de manera significativa su riesgo financiero, operativo y reputacional, y estarán mejor preparadas frente a futuras oleadas de ciberataques en la región.
