Bloody Wolf expande ataques con NetSupport RAT basados en Java en Kirguistán y Uzbekistán

noviembre 28, 2025

Bloody Wolf expande ataques con NetSupport RAT basados en Java en Kirguistán y Uzbekistán

Resumen del incidente

El actor de amenazas conocido como Bloody Wolf ha sido atribuido a una campaña cibernética que ha apuntado a Kirguistán desde al menos junio de 2025 con el objetivo de entregar el Remote Access Trojan (RAT) NetSupport. Según investigadores de Group-IB, Amirbek Kurbanov y Volen Kayo, la actividad se ha ampliado para incluir también a Uzbekistán a partir de octubre de 2025. El informe fue publicado en colaboración con Ukuk, una empresa estatal mencionada en el documento.

Contexto y antecedentes

NetSupport es una herramienta de administración remota legítima que, en múltiples ocasiones durante la última década, ha sido abusada por operadores maliciosos para obtener acceso persistente y control remoto de sistemas comprometidos. El uso de cargadores y entregas basadas en Java no es nuevo: Java sigue siendo un vector atractivo porque permite ejecutar código multiplataforma y puede eludir ciertas defensas si las configuraciones de entornos y políticas no están endurecidas.

Por su naturaleza, la utilización de software legítimo como NetSupport complica la detección: cuando una herramienta de administración remota es empleada para fines legítimos en una organización, separar uso autorizado de abuso malicioso exige controles contextuales y telemetría de comportamiento. En el ámbito regional, los objetivos estatales y organizaciones críticas en Asia Central han sido foco de campañas tanto criminales como de inteligencia en años recientes, lo que eleva la sensibilidad de intrusiones que aprovechan accesos remotos.

Análisis técnico y comentarios de experto

Según la investigación citada, Bloody Wolf emplea un flujo de ataque centrado en la entrega de un componente Java que actúa como cargador para NetSupport RAT. Desde la perspectiva de un profesional de ciberseguridad, hay varias observaciones relevantes:

  • Uso de Java como vector: los artefactos Java (JAR, clases) permiten movilidad entre plataformas y, si se firma indebidamente o se ejecutan en entornos sin control de ejecución restrictivo, pueden lanzar binarios secundarios o cargar código en tiempo de ejecución.
  • Abuso de una herramienta legítima: NetSupport, diseñado para administración remota, ofrece funcionalidades que facilitan control completo del endpoint —canal de comando y control (C2), control de pantalla, ejecución remota— lo que lo convierte en un objetivo deseable para actores maliciosos.
  • Persistencia y evasión: los atacantes que usan RAT comerciales suelen combinar técnicas de persistencia tradicionales (tareas programadas, servicios) con técnicas de ofuscación y empaquetado para retrasar la detección por antivirus y EDR.

Para equipos de respuesta y detección, distinguir uso legítimo de abuso requiere correlación entre telemetría de endpoint, contextos de negocio y patrones de comunicación de red atípicos.

Recomendación técnica inmediata: monitorizar ejecuciones de la JVM que desciendan de procesos inusuales, vigilar la creación de procesos secundarios tras la ejecución de artefactos Java y correlacionar con conexiones externas a dominios o IPs fuera de perfil. Además, revisar logs de administración remota para detectar sesiones fuera de horario o desde ubicaciones no habituales.

Casos comparables y estadísticas generales

El abuso de herramientas administrativas comerciales por actores maliciosos es una tendencia documentada y ampliamente conocida. Ejemplos históricamente observados incluyen el uso indebido de TeamViewer, AnyDesk, Remote Desktop Protocol (RDP) y, en varias campañas, de NetSupport. Esta práctica se apoya en la legitimidad funcional de las herramientas para facilitar movimiento lateral, exfiltración y persistencia.

  • Desde mediados de la década de 2010, múltiples informes públicos de la industria han registrado campañas que reutilizan soluciones comerciales de acceso remoto.
  • Las campañas que emplean cargadores basados en Java o macros basadas en documento siguen siendo comunes como primer paso de compromiso, en particular contra organizaciones con controles de seguridad menos robustos.

Si bien las cifras concretas de compromisos en Asia Central no siempre son públicas, los incidentes regionales reportados por empresas de seguridad y por gobiernos locales muestran un aumento sostenido de actividades dirigidas a instituciones estatales y servicios críticos en años recientes.

Riesgos, implicaciones y recomendaciones operativas

Riesgos e implicaciones clave:

  • Acceso no autorizado y exfiltración: NetSupport proporciona capacidades que permiten exfiltrar datos sensibles y mantener acceso persistente.
  • Difícil atribución operativa: el uso de herramientas comerciales complica la atribución y puede ralentizar la respuesta coordinada entre entidades afectadas.
  • Impacto en infraestructuras críticas: si los blancos incluyen entidades estatales o servicios imprescindibles, el riesgo operacional y político aumenta significativamente.

Recomendaciones prácticas para equipos defensores (priorizadas):

  • Inventario y control: identificar y autorizar explícitamente todas las instalaciones de NetSupport y otras herramientas de administración remota. Deshabilitar o restringir aquellas no justificadas por la operación.
  • Endurecimiento de Java: reducir la superficie de ataque limitando la ejecución de JARs a usuarios y contenedores autorizados, aplicar políticas de ejecución (por ejemplo, bloqueos de aplicación/whitelisting) y mantener la JVM actualizada.
  • Telemetría y detección: configurar EDR e IPS para alertar sobre comportamientos de NetSupport y sobre ejecuciones atípicas de Java; monitorizar patrones de conexión saliente a C2 y dominios dinámicos.
  • Segmentación y control de egress: impedir que endpoints con acceso limitado puedan comunicarse libremente hacia Internet y aplicar inspección de tráfico SSL/TLS saliente para detectar C2 encubierto.
  • Respuesta y contención: en caso de detección, aislar sistemas afectados, realizar análisis forense de memoria y disco para confirmar persistencia, y rotar credenciales que pudieran haber sido comprometidas.
  • Cooperación e intercambio de TI: compartir indicadores y tácticas con ISACs locales, autoridades nacionales y proveedores de seguridad; colaborar con equipos regionales para mapear alcance y vectores.

Conclusión

La expansión de la campaña atribuida a Bloody Wolf, que utiliza artefactos Java para desplegar NetSupport RAT en Kirguistán y Uzbekistán, subraya una amenaza persistente y pragmática: operadores maliciosos siguen aprovechando herramientas legítimas y vectores multiplataforma para comprometer objetivos. Para las organizaciones afectadas y los equipos de ciberseguridad, las prioridades deben ser inventariar y controlar el uso de herramientas de administración remota, endurecer entornos Java, mejorar la telemetría y preparar procedimientos de respuesta que permitan distinguir uso legítimo de abuso. La cooperación regional y el intercambio de inteligencia serán claves para contener la actividad y limitar el impacto.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad