Хакерская группа «Bloody Wolf» развернула новую целевую кампанию в Центральной Азии. После атак на Киргизию летом 2025 года, осенью жертвами стали узбекистанские финансовые организации, госструктуры и ИТ-компании. Злоумышленники используют изощренную схему, прикрываясь именами государственных ведомств, в частности, имитируют Министерство юстиции.
Основной метод — фишинговые рассылки с идеально подделанными официальными письмами. Жертвам приходит PDF-документ, стилизованный под служебный, с требованием установить «Java для просмотра». Нажатие на ссылку ведёт не к документу, а к загрузке вредоносного JAR-архива. Этот файл действует как дроппер, внедряя в систему троянца NetSupport RAT — устаревшую, но эффективную версию программы удалённого доступа.
Особенность атаки на Узбекистан — умная геофильтрация. Запросы к зловредным серверам из других стран перенаправляются на легитимный правительственный сайт, что скрывает истинную инфраструктуру. Вредоносный код загружается только при обращении из узбекских IP-адресов, что серьёзно затрудняет расследование для международных экспертов.
Попав в систему, троянец всеми силами обеспечивает своё постоянство. Он прописывается в планировщике заданий, реестре Windows и папке автозагрузки. Это позволяет хакерам сохранять долгосрочный доступ к заражённым компьютерам, собирая конфиденциальные данные или готовясь к более разрушительным действиям.
Аналитики Group-IB отмечают, что сила «Кровавого Волка» — в сочетании простой социальной инженерии и доступных инструментов. Доверие к госорганам, старые, но работающие эксплойты и минимальный бюджет делают группу опасной и живучей угрозой для всего региона, чья активность, судя по всему, будет только нарастать.