Хак-группа Bloody Wolf развернула новую волну целевых кибератак против организаций в Центральной Азии. По данным исследователей Group‑IB, с июня 2025 года злоумышленники активно атакуют Кыргызстан, а с октября расширили кампанию на Узбекистан. В фокусе — финансовые учреждения, государственные структуры и ИТ-компании, что делает инцидент значимым для всего регионального киберпространства.
Целевые атаки на государственные и финансовые организации Центральной Азии
Группа Bloody Wolf, по наблюдениям аналитиков, действует как минимум с конца 2023 года. Ранее её активности фиксировались в России и Казахстане, где злоумышленники распространяли малварь STRRAT и NetSupport RAT через фишинговые рассылки. Текущая кампания демонстрирует закономерный переход к региональному расширению в Центральной Азии при сохранении уже отработанных техник и инструментов.
Основная стратегия остаётся неизменной: злоумышленники выдают себя за представителей государственных органов, рассылая письма с «важными документами», которые побуждают адресатов открыть вложение или перейти по ссылке. Такой подход укладывается в глобальный тренд: согласно отраслевым отчётам (например, Verizon DBIR), фишинг стабильно входит в число ключевых векторов начального проникновения в инфраструктуру организаций.
Фишинг под видом Минюста и поддельные PDF-документы
В атаках на Кыргызстан злоумышленники маскируются под Министерство юстиции Кыргызской Республики. Они регистрируют домены, визуально схожие с официальными, и распространяют PDF‑документы, которые выглядят как легитимные судебные или юридические уведомления. На деле внутри таких PDF содержится ссылка на скачивание вредоносного файла.
Письмо, как правило, содержит формулировки о срочности или обязательном ознакомлении, что усиливает психологическое давление на получателя. Такой приём социальной инженерии повышает вероятность того, что сотрудник проигнорирует внутренние регламенты ИБ и самостоятельно запустит неизвестный файл.
Цепочка заражения через JAR-файлы и Java Runtime
Сценарий атаки выглядит следующим образом. Пользователь получает письмо со ссылкой на «важный документ». При переходе по ссылке загружается JAR-файл (Java-архив) и прилагается инструкция по установке или обновлению Java Runtime. В сообщении утверждается, что Java необходима для просмотра документов, хотя реальная цель загрузчика — получить и запустить NetSupport RAT с удалённого сервера.
После запуска JAR-загрузчик связывается с командно‑контрольным сервером атакующих, скачивает NetSupport RAT и закрепляет его в системе жертвы. Исследователи отмечают, что закрепление реализовано как минимум тремя способами: через запланированную задачу Windows, запись в реестре и создание BAT‑файла в папке автозагрузки. Такой многослойный персистентный механизм усложняет полное удаление малвари и повышает устойчивость атаки к поверхностной очистке.
NetSupport RAT: легитимное ПО как инструмент кибератаки
NetSupport RAT изначально является законным программным обеспечением для удалённой технической поддержки. Однако злоумышленники активно используют его как полноценный инструмент удалённого доступа (RAT). После успешного заражения злоумышленники получают возможность управлять рабочей станцией, выгружать документы, устанавливать другой вредоносный софт и перемещаться по внутренней сети.
Особенность кампании Bloody Wolf в том, что применяется не самая новая версия NetSupport RAT — сборка датируется октябрём 2013 года. Аналогичная ситуация с загрузчиками: все выявленные JAR‑файлы собраны на базе устаревшей версии Java 8, выпущенной ещё в 2014 году. Это косвенно указывает на наличие у группы собственного генератора или шаблонов для автоматизированного создания загрузчиков и подтверждает: для проведения сложных таргетированных атак не всегда требуются современные дорогие эксплойты.
Геофенсинг в атаках на Узбекистан
В ходе атак на организации Узбекистана Bloody Wolf применяет приём геофенсинга — фильтрации трафика по геолокации. Если запрос к вредоносному ресурсу поступает из‑за пределов Узбекистана, пользователь перенаправляется на реальный государственный сайт data.egov.uz. Для внешних наблюдателей и автоматизированных систем анализа ссылки выглядят безобидными.
Однако запросы изнутри страны ведут к иной логике: при переходе по ссылке внутри PDF запускается скачивание JAR‑файла с загрузчиком малвари. Такой избирательный подход усложняет детектирование кампании международными исследовательскими центрами и антивирусными движками, которые часто осуществляют анализ с IP‑адресов других стран.
Риски для организаций и рекомендации по защите
Кампания Bloody Wolf наглядно демонстрирует, что коммерческие и устаревшие инструменты могут быть не менее опасны, чем новые трояны или сложные эксплойт‑киты. При грамотной социальной инженерии и точном таргетинге даже простой JAR‑загрузчик становится эффективным средством проникновения в сети финансовых организаций и госструктур.
Для снижения рисков специалистам по ИБ в Кыргызстане, Узбекистане и других странах региона целесообразно:
- усилить фильтрацию почты и блокировку вложений в формате JAR и исполняемых файлов;
- ограничить или полностью запретить использование Java Runtime на рабочих станциях, где это не требуется по бизнес‑процессам;
- внедрить EDR/antimalware‑решения с поведенческим анализом, способные выявлять нетипичное использование средств удалённого администрирования (таких как NetSupport);
- настроить мониторинг и алерты по изменениям в запланированных задачах, автозагрузке и реестре — типичных точках закрепления малвари;
- проводить регулярное обучение сотрудников методам распознавания фишинга и социальной инженерии, особенно в подразделениях, взаимодействующих с госорганами и финансовыми регуляторами.
Расширение активности Bloody Wolf в Центральной Азии подтверждает, что регион всё чаще рассматривается киберпреступниками как приоритетная цель. Организациям важно не только отслеживать отчёты профильных компаний, но и проактивно усиливать свою киберустойчивость: актуализировать политики безопасности, минимизировать использование потенциально опасных компонентов (таких как устаревшая Java), улучшать процессы реагирования на инциденты и регулярно тестировать готовность персонала к фишинговым атакам. Чем раньше подобные кампании будут обнаружены и локализованы, тем ниже окажутся финансовые и репутационные потери.
