Bloody Wolf

Group-IB研究人员观察到，自2025年6月起，名为Bloody Wolf的威胁行为者发起针对吉尔吉斯斯坦的网络攻击活动，目标是交付NetSupport RAT。到2025年10初，其攻击范围扩大至乌兹别克斯坦。攻击者通过伪装成吉尔吉斯斯坦司法部，利用看似官方的PDF文档和域名，这些文档和域名又托管了旨在部署NetSupport RAT的恶意Java归档(JAR)文件。攻击采用社会工程学和易获取的工具，通过钓鱼邮件，诱使收件人点击链接下载恶意JAR加载器文件并安装Java Runtime，进而执行加载器以获取NetSupport RAT并建立持久化。在针对乌兹别克斯坦的攻击中还加入了地理围栏限制。