Underc0de - La Casa de los Informáticos

El actor amenazante conocido como Bloody Wolf ha sido vinculado a una campaña de ciberespionaje y distribución de malware que afecta directamente a Kirguistán y Uzbekistán, marcando una clara expansión de sus operaciones dentro de Asia Central. Según un informe conjunto de Group-IB y Ukuk, una empresa estatal asociada a la Fiscalía General de la República Kirguisa, esta ofensiva ha estado activa al menos desde junio de 2025, con una intensificación y redirección específica hacia Uzbekistán a partir de octubre de ese mismo año.

Los ataques han tenido como principales objetivos los sectores financiero, gubernamental y de tecnologías de la información (TI), con un patrón operativo que combina ingeniería social avanzada, abuso de infraestructura local y el despliegue del malware de acceso remoto NetSupport RAT.

¿Quién es Bloody Wolf?

Bloody Wolf es el nombre atribuido a un grupo de hackers de origen aún no identificado que ha estado activo al menos desde finales de 2023. Previamente, sus operaciones se habían centrado en entidades de Kazajistán y Rusia, utilizando herramientas como STRRAT y NetSupport RAT, dos familias de malware de acceso remoto ampliamente utilizadas en campañas de espionaje y sabotaje digital.

Sin embargo, su reciente redirección hacia Kirguistán y Uzbekistán representa una clara evolución en su enfoque estratégico, ampliando su radio de acción en una región donde los ataques contra infraestructuras gubernamentales y financieras están en aumento.

Suplantación de organismos gubernamentales

Una de las tácticas más relevantes utilizadas por Bloody Wolf es la suplantación de identidad del Ministerio de Justicia de Kirguistán. Los atacantes crean correos electrónicos de spear-phishing que simulan provenir de entidades gubernamentales oficiales, utilizando:

• Documentos PDF con formato gubernamental
• Nombres de dominio casi idénticos a los reales
• Lenguaje formal adaptado al contexto local

Estos correos contienen enlaces o archivos adjuntos diseñados para engañar al receptor y hacerlo ejecutar un archivo malicioso.

CitarSegún Group-IB:

"La combinación de ingeniería social y herramientas accesibles permite a Bloody Wolf mantenerse eficaz sin perder el perfil operativo".

Este enfoque aprovecha la confianza en las instituciones públicas, una táctica cada vez más recurrente en ataques dirigidos a infraestructura estatal.

Cadena de infección: del PDF al NetSupport RAT

La cadena de ataque sigue un esquema similar tanto en Kirguistán como en Uzbekistán:

• El usuario recibe un correo electrónico fraudulento que aparenta ser una notificación oficial.
• Se incluye un archivo PDF que contiene instrucciones y un enlace malicioso.
• El PDF indica que es necesario instalar Java Runtime Environment (JRE) para visualizar correctamente el documento.
• Al hacer clic, se descarga un archivo Java Archive (JAR) malicioso.
• Al ejecutarlo, el JAR actúa como cargador y descarga la carga útil final: NetSupport RAT.

Este troyano permite al atacante tomar el control remoto del sistema infectado, robar información sensible, monitorizar actividades y ejecutar comandos de forma encubierta.

Persistencia en el sistema: tres técnicas clave

Una vez que NetSupport RAT se instala, el malware establece persistencia utilizando tres métodos principales:

• Creación de una tarea programada, que ejecuta el malware al iniciar el sistema.
• Modificación del Registro de Windows, insertando una entrada que garantiza su ejecución.
• Despliegue de un script por lotes ubicado en:
• %APPDATA%\Microsoft\Windows\Menú Inicio\Programas\Inicio

Estas técnicas aseguran que el malware continúe activo incluso después de reinicios o intentos básicos de eliminación.

Geovallado en Uzbekistán: una campaña más sofisticada

Un aspecto particularmente notable de la fase dirigida a Uzbekistán es el uso de una técnica de geovallado (geofencing).

Si una solicitud de acceso a la infraestructura maliciosa proviene fuera del país, el usuario es redirigido automáticamente al sitio legítimo data.egov.uz, lo cual dificulta enormemente el análisis desde el extranjero y confunde a los investigadores.

Solo las solicitudes provenientes de direcciones IP dentro de Uzbekistán activan la descarga real del archivo JAR malicioso, lo que demuestra un alto nivel de planificación operativa.

Uso de herramientas antiguas pero efectivas

Los cargadores JAR utilizados en la campaña están compilados sobre Java 8, una versión lanzada en 2014, mientras que la versión de NetSupport RAT empleada data de octubre de 2013.

Lejos de ser una debilidad, esta elección puede responder a razones estratégicas:

• Mayor compatibilidad con sistemas heredados en instituciones públicas
• Menor detección por parte de ciertas soluciones modernas
• Facilidad para modificar versiones antiguas

Group-IB cree que Bloody Wolf utiliza un generador personalizado de JARs, lo que les permite crear rápidamente múltiples variantes para evadir las detecciones de antivirus.

Una amenaza creciente para Asia Central

Este caso demuestra cómo actores con recursos limitados pueden ejecutar campañas altamente efectivas utilizando:

• Software comercial reutilizado
• Infraestructura local comprometida
• Técnicas básicas pero bien implementadas

CitarComo señaló Group-IB:

"Bloody Wolf ha demostrado cómo herramientas comerciales y de bajo coste pueden ser convertidas en operaciones cibernéticas sofisticadas y dirigidas a la región".

Esto evidencia el aumento del riesgo para países con infraestructuras digitales en proceso de modernización pero con niveles de protección aún desiguales.

Impacto en sectores críticos

Los sectores más afectados por esta campaña son:

• Instituciones financieras
• Organismos gubernamentales
• Empresas de tecnología
• Proveedores de servicios digitales

Una intrusión exitosa en estos entornos podría traducirse en:

• Robo de información sensible
• Sabotaje de servicios públicos
• Espionaje gubernamental
• Compromiso de infraestructuras críticas

Recomendaciones de seguridad

• Para mitigar este tipo de ataques, se recomienda:
• Bloquear la ejecución de archivos JAR no autorizados.
• Fortalecer los filtros anti-phishing en correos corporativos.
• Capacitar a los empleados contra campañas de ingeniería social.
• Actualizar sistemas heredados y desinstalar Java si no es necesario.
• Implementar EDR y soluciones de detección de comportamiento.
• Configurar políticas de control de aplicaciones.

Una amenaza persistente y en evolución

La campaña de Bloody Wolf demuestra cómo los ciberdelincuentes están ampliando sus áreas de influencia en Asia Central, utilizando tácticas híbridas que combinan confianza institucional con malware probado.

Este caso no solo expone el riesgo para Kirguistán y Uzbekistán, sino que también sirve como advertencia global sobre la creciente profesionalización de actores regionales con ambiciones internacionales.

Fuente: https://thehackernews.com/