Кровавый волк

Исследователи Group-IB заметили, как в июне 2025 года агент угроз под ником Bloody Wolf начал кампанию кибератак на Кыргызстан, направленную на доставку NetSupport RAT, а к началу октября 2025 года расширил масштаб атак на Узбекистан. Маскируясь под Министерство юстиции Кыргызстана, злоумышленники использовали официальные PDF-документы и домены, на которых, в свою очередь, размещались вредоносные файлы Java Archive (JAR), предназначенные для развертывания NetSupport RAT. Атака использует социальную инженерию и легкодоступные инструменты через фишинговые письма, чтобы обманом заставить получателей нажать на ссылку для загрузки вредоносного файла-загрузчика JAR и установки Java Runtime, который, в свою очередь, выполняет загрузчик для получения NetSupport RAT и установления персистентности. В атаку на Узбекистан также были добавлены ограничения по геозоне.