트로이 목마 백도어(컴퓨팅)

그룹-IB 연구원들은 블러디 울프라는 위협 행위자가 2025년 6월부터 키르기스스탄을 대상으로 사이버 공격 캠페인을 시작했으며, 2025년 10월 초에는 공격 범위를 우즈베키스탄으로 확대하는 것을 관찰했습니다. 공격자들은 키르기스스탄 법무부를 사칭하여 공식 문서처럼 보이는 PDF 문서와 도메인을 활용했으며, 그 안에 NetSupport RAT를 배포하도록 설계된 악성 자바 아카이브(JAR) 파일을 호스팅했습니다. 이 공격은 피싱 이메일을 통해 소셜 엔지니어링과 접근하기 쉬운 도구를 사용하여 수신자가 링크를 클릭하도록 속여 악성 JAR 로더 파일을 다운로드하고 자바 런타임을 설치하도록 한 다음, 로더를 실행하여 NetSupport RAT를 획득하고 지속성을 확보합니다. 우즈베키스탄에 대한 공격에는 지오펜싱 제한도 추가되었습니다.