З літа 2025 року кібершахрайська група Bloody Wolf розгорнула нову хвилю цільових атак проти організацій у Центральній Азії. За даними дослідників Group‑IB, з червня основним об’єктом став Киргизстан, а з жовтня кампанія поширилася на Узбекистан. Під ударом – банки, держоргани та ІТ-компанії, що робить цю активність значущою для безпеки всього регіону.
Розширення діяльності Bloody Wolf у Центральній Азії
Аналітики фіксують активність Bloody Wolf щонайменше з кінця 2023 року. Спершу група була помітна в Росії та Казахстані, де через фішингові розсилки поширювала шкідливе ПЗ STRRAT і NetSupport RAT. Поточна кампанія демонструє логічний перехід до регіонального масштабу в Центральній Азії із повторним використанням уже відпрацьованих інструментів і технік.
Ключова тактика незмінна: зловмисники видають себе за представників державних структур, надсилаючи листи з «офіційними документами», що нібито потребують термінового ознайомлення. Подібні сценарії повністю корелюють з галузевою статистикою: за даними щорічних звітів з кібербезпеки, зокрема Verizon DBIR, фішинг стабільно входить до переліку основних векторів початкового доступу до корпоративних мереж.
Фішингові листи від «Мін’юсту» Киргизстану та підроблені PDF-документи
Під час атак на організації Киргизстану Bloody Wolf маскується під Міністерство юстиції Киргизької Республіки. Зловмисники реєструють домени, візуально схожі на офіційні адреси, та розсилають PDF‑файли, стилізовані під судові чи юридичні повідомлення. Усередині таких документів міститься посилання на завантаження шкідливого файлу, а не реальний вміст справи.
Текст листів апелює до «терміновості» й «обов’язкового ознайомлення», створюючи психологічний тиск на адресата. Це типовий прийом соціальної інженерії, який значно підвищує імовірність того, що співробітник проігнорує внутрішні політики безпеки й самостійно запустить невідомий файл.
Ланцюжок зараження через JAR-файли та Java Runtime
Технічний сценарій атаки виглядає так: користувач переходить за посиланням із листа, після чого йому пропонують завантажити JAR-файл (Java-архів) і слідувати інструкції з інсталяції або оновлення Java Runtime. У повідомленні стверджується, що Java потрібна для перегляду документів, хоча реальна мета завантажувача – отримати й запустити NetSupport RAT із віддаленого сервера керування.
Після запуску JAR-завантажувач встановлює з’єднання з командно‑контрольним сервером, завантажує NetSupport RAT і закріплює його у системі. Дослідники відзначають щонайменше три механізми персистентності: створення запланованого завдання Windows, модифікація реєстру та додавання BAT‑файлу в папку автозавантаження. Такий багаторівневий підхід ускладнює повне видалення шкідника та підвищує стійкість атаки до поверхневої очистки.
NetSupport RAT: легітимний інструмент як зброя кібератак
NetSupport RAT – це спочатку легальне програмне забезпечення для віддаленої технічної підтримки. Проте в руках кіберзлочинців воно перетворюється на повноцінний інструмент віддаленого доступу (RAT). Після компрометації робочої станції злоумисники можуть керувати системою, завантажувати й вивантажувати файли, встановлювати інше шкідливе ПЗ та здійснювати горизонтальне переміщення мережею.
Цікава деталь кампанії Bloody Wolf – використання неактуальної збірки NetSupport RAT, датованої жовтнем 2013 року. Аналогічно, усі виявлені JAR-файли зібрані на базі застарілої версії Java 8 (реліз 2014 року. Це побічно свідчить про наявність у групи власного генератора чи шаблонів для автоматизованого створення завантажувачів і показує: для ефективних таргетованих кібератак необов’язково мати дорогі сучасні експлойти – достатньо грамотно скомбінувати перевірені інструменти й соціальну інженерію.
Геофенсинг в атаках на організації Узбекистану
Для атак на Узбекистан Bloody Wolf застосовує прийом геофенсингу – фільтрацію доступу до шкідливих ресурсів за геолокацією. Якщо запит надходить з‑за меж країни, користувача перенаправляють на справжній державний сайт data.egov.uz. Для зовнішніх дослідників та автоматизованих систем аналізу посилання виглядають абсолютно легітимними.
Якщо ж запит надходить із території Узбекистану, логіка змінюється: перехід за посиланням у PDF запускає завантаження JAR‑завантажувача з шкідливим кодом. Такий вибірковий підхід ускладнює виявлення кампанії міжнародними аналітичними центрами та антивірусними движками, які часто використовують інфраструктуру з IP‑адресами інших країн.
Ризики для організацій та практичні рекомендації із захисту
Кампанія Bloody Wolf наочно демонструє, що комерційні та застарілі інструменти можуть бути не менш небезпечними, ніж нові трояни або складні експлойт-кіти. За умови грамотної соціальної інженерії та точного таргетингу навіть простий JAR-завантажувач стає ефективним засобом проникнення в мережі фінансових організацій та держструктур.
Для зниження ризиків фахівцям з ІБ у Киргизстані, Узбекистані та інших країнах регіону доцільно:
- посилити фільтрацію пошти і блокування вкладень у форматі JAR і виконуваних файлів;
- обмежити або повністю заборонити використання Java Runtime на робочих станціях, де це не потрібно за бізнес-процесами;
- впровадити EDR/antimalware-рішення з поведінковим аналізом, здатні виявляти нетипове використання засобів віддаленого адміністрування (таких як NetSupport);
- налаштувати моніторинг і сповіщення про зміни в запланованих завданнях, автозавантаженні та реєстрі — типових точках закріплення малварі;
- проводити регулярне навчання співробітників методам розпізнавання фішингу та соціальної інженерії, особливо в підрозділах, що взаємодіють з держорганами та фінансовими регуляторами.
Розширення активності Bloody Wolf у Центральній Азії підтверджує, що регіон все частіше розглядається кіберзлочинцями як пріоритетна мета. Організаціям важливо не тільки відстежувати звіти профільних компаній, але й проактивно посилювати свою кіберстійкість: актуалізувати політики безпеки, мінімізувати використання потенційно небезпечних компонентів (таких як застаріла Java), покращувати процеси реагування на інциденти та регулярно тестувати готовність персоналу до фішингових атак. Чим раніше подібні кампанії будуть виявлені та локалізовані, тим нижчими будуть фінансові та репутаційні втрати.
