نُسبت مجموعة التهديد المعروفة باسم Bloody Wolf إلى حملة هجوم سيبراني تستهدف قرغيزستان منذ يونيو 2025 بهدف نشر برنامج NetSupport RAT للتحكّم عن بُعد. وبحسب تقرير باحثي Group-IB أميربك كوربانوف وفولين كايو، والذي نُشر بالتعاون مع مؤسسة Ukuk التابعة لمكتب الادعاء العام في قرغيزستان، فقد توسعت الحملة بحلول أكتوبر 2025 لتستهدف أيضًا أوزبكستان، مركّزة على قطاعات المالية والحكومة وتكنولوجيا المعلومات.
وقالت Group-IB إن المهاجمين تظاهروا بأنهم من وزارة العدل القرغيزية عبر مستندات PDF ذات مظهر رسمي ونطاقات مشابهة، مستضيفين من خلالها ملفات Java Archive (JAR) خبيثة مصممة لنشر NetSupport RAT. وأوضحت أن مزيج الهندسة الاجتماعية والأدوات المتاحة بسهولة يمنح المجموعة فاعلية كبيرة مع المحافظة على بصمة تشغيلية منخفضة.
توسّع عمليات المجموعة في آسيا الوسطى
يُستخدم اسم Bloody Wolf للإشارة إلى مجموعة قرصنة غير معروفة الأصل، تعتمد على هجمات التصيّد الموجّه (spear-phishing) لاستهداف كيانات في كازاخستان وروسيا عبر أدوات مثل STRRAT وNetSupport، ويُعتقد أنها نشطة منذ أواخر 2023. ويمثل استهداف قرغيزستان وأوزبكستان استمرارًا لتوسّع عملياتها في آسيا الوسطى باستخدام تقنيات وصول أولي متشابهة تعتمد في الأساس على انتحال الوزارات الحكومية في رسائل البريد الموجهة لنشر روابط أو مرفقات مسلحة.
وتتبع سلاسل الهجوم نهجًا متكررًا، حيث يُخدع المستخدمون بالنقر على روابط لتنزيل ملفات JAR الخبيثة، مرفقة بتعليمات تطلب تنصيب Java Runtime بحجة فتح المستندات. لكن الهدف الحقيقي هو تشغيل المحمّل الذي يجلب الحمولة التالية—وهي NetSupport RAT—من بنية خاضعة لسيطرة المهاجم، ثم يثبت وجوده عبر ثلاث آليات:
-
إنشاء مهمة مجدولة
-
إضافة قيمة في سجل نظام Windows
-
إسقاط سكربت batch في مسار Startup
جغرافيا الاستهداف وتقنيات التحايل
تتميز المرحلة الخاصة بأوزبكستان باستخدام تقنيات التحديد الجغرافي (geofencing)، إذ يتم تحويل الطلبات الواردة من خارج البلاد إلى موقع data.egov[.]uz الشرعي، بينما تُفعَّل الروابط الخبيثة فقط لمن يتصفح من داخل أوزبكستان، مما يؤدي إلى تحميل ملف JAR من رابط مضمن داخل مرفق PDF.
وبيّنت Group-IB أن محمّلات JAR المستخدمة مبنية على Java 8 الصادرة عام 2014، مرجحة أن المهاجمين يستخدمون مولد JAR مخصصًا أو قالبًا جاهزًا لإنتاج هذه الملفات. أما حمولة NetSupport RAT فهي نسخة قديمة من NetSupport Manager تعود إلى أكتوبر 2013.
أدوات منخفضة التكلفة وعمليات عالية الاستهداف
أكد الباحثون أن Bloody Wolf تُظهر كيف يمكن تحويل أدوات منخفضة التكلفة ومتاحة تجاريًا إلى عمليات سيبرانية متقدمة تستهدف مناطق محددة بدقة. فمن خلال استغلال الثقة في المؤسسات الحكومية واستخدام محمّلات بسيطة مبنية على JAR، تواصل المجموعة ترسيخ حضور واسع في مشهد التهديدات عبر آسيا الوسطى.
