🐺💻 Bloody Wolf vuelve a atacar: campañas de spear-phishing con Java y NetSupport ponen en jaque a gobiernos y TI

🧨 ¿Qué está pasando?

Desde junio de 2025, el grupo APT Bloody Wolf ha intensificado una campaña de spear-phishing en Asia Central, principalmente en:

• Kirguistán

• Uzbekistán

Sus principales objetivos:

• Gobiernos

• Sector financiero

• Empresas de TI

Bloody Wolf envía correos que parecen provenir de Ministerios de Justicia, usando PDFs muy simples pero localizados, que redirigen a sitios falsos donde se solicita “descargar Java para visualizar documentos judiciales”.
Ese Java es, en realidad, un loader JAR malicioso, sin ofuscación, diseñado para desplegar:

👉 NetSupport Manager (versión 2013) —una herramienta legítima de soporte remoto, reutilizada como RAT para control total y exfiltración.

🧩 ¿Por qué NetSupport y no malware tradicional?

Porque NetSupport:

• Es legal

• Es ampliamente usado en educación, salud y oficinas

• Genera menos alertas en sistemas no endurecidos

• Puede operar sin levantar sospechas en tráfico corporativo

Esta táctica reduce detecciones y permite que el atacante mantenga persistencia triple:

• Carpeta de inicio

• Registro

• Tareas programadas

Con esto logran acceso continuo sin necesidad de reinfección.

🔗 Detalles de la cadena de infección (explicado para TI)

1. PDF señuelo
   Mensaje corto y creíble. Link a un portal falso.

2. Sitio spoofed
   Simula un recurso oficial y dice: “Descargue Java para ver el caso judicial”.

3. Descarga del JAR malicioso
   Ejecuta en menos de 10 minutos.

4. Acciones del loader

   • Descarga NetSupport desde HTTP

   • Activa geofencing (si no eres de la región objetivo, te manda a un sitio legítimo → evita análisis de sandboxes globales)

   • Crea persistencia en 3 capas

   • Abre canal RAT para espionaje y exfiltración

Antes usaban STRRAT, un malware Java más conocido.
Ahora prefieren NetSupport porque se “camufla” en entornos donde ya existe este tipo de software.

🌐 Expansión y escalada táctica

• Junio 2025: campañas iniciales en Kirguistán

• Octubre 2025: expansión a Uzbekistán

• Variantes nuevas del loader

• Generador JAR propio para ajustar cargas y evadir detecciones

Según Group-IB, Bloody Wolf está activo desde 2023 y se caracteriza por:

• operaciones de bajo costo pero efectivas

• ingeniería social muy localizada

• uso creativo de herramientas públicas

• espionaje gradual y silencioso

Su fortaleza no es la sofisticación técnica, sino la adaptabilidad.

🛡️ Recomendaciones prácticas para tu día a día en TI

1. Bloquea la ejecución de JARs desconocidos

Muchos ataques Java explotan que las empresas no monitorean este formato.

2. Monitorea descargas relacionadas con Java

Si tu organización no usa Java activamente, cualquier descarga debería levantar alertas.

3. Revisa persistencia sospechosa

Puntos clave:

• Startup folders

• claves Run / RunOnce en registro

• tareas programadas recién creadas

4. Filtra spear-phishing con PDFs gubernamentales

Los atacantes usan señuelos muy regionales y simples.
Entrena a usuarios en reconocer suplantaciones locales.

5. Configura EDR para detectar NetSupport no autorizado

Si tu empresa no utiliza NetSupport Manager, cualquier ejecución debe marcarse como incidente.

6. Audita accesos remotos

NetSupport se comunica de forma silenciosa. Revisa:

• conexiones persistentes

• comportamientos fuera de horario

• transferencias inusuales

7. Coordínate con threat intel para obtener IOCs actualizados

Estas campañas cambian cada pocas semanas. Mantener IOCs al día es clave.