spying-4518798_1280-1.jpg

Bloody Wolf usa PDFs falsos para espionagem

O grupo APT Bloody Wolf intensificou desde junho de 2025 campanhas de spear phishing contra órgãos governamentais e empresas em países da Ásia Central, como Quirguistão e Uzbequistão, se passando por ministérios da Justiça em e-mails aparentemente oficiais.
Os atacantes enviam PDFs que simulam documentos jurídicos urgentes; ao clicar nos links internos, a vítima é levada a páginas que pedem uma “atualização de Java” e, na prática, baixam arquivos JAR maliciosos que iniciam a infecção.

Cadeia de infecção com NetSupport RAT

Os JARs, compilados em Java 8 e pouco ofuscados, atuam como loaders personalizados: baixam binários do NetSupport Manager a partir da infraestrutura dos atacantes, adicionam o programa à inicialização do Windows e criam tarefas agendadas para garantir persistência.
O malware cria redundância ao soltar arquivos .bat na pasta de Startup, alterar chaves de registro e configurar schtasks, tudo enquanto exibe mensagens de erro falsas para desviar a atenção do usuário.

Ao usar o NetSupport — uma ferramenta legítima de acesso remoto — o Bloody Wolf ganha controle total das máquinas (tela, arquivos, inventário, movimentação lateral) e se camufla no meio do tráfego administrativo normal, o que dificulta a detecção por times de segurança.

Sofisticação regional

A campanha adapta idioma, conteúdo dos PDFs e domínios usados às realidades locais, e na fase focada no Uzbequistão ainda aplica geofencing: apenas acessos a partir do país recebem o JAR malicioso; os demais são redirecionados para sites governamentais legítimos.
Isso reduz a visibilidade para pesquisadores externos e sandboxes, mantendo o foco em alvos de governo, finanças e TI da região.

Medidas de proteção

  • Tratar anexos PDF “oficiais” com cautela, verificando domínios e endereços antes de clicar em links ou baixar supostas atualizações de Java.
  • Bloquear ou monitorar rigorosamente uso de ferramentas de acesso remoto como NetSupport, permitindo apenas instâncias autorizadas.
  • Monitorar criação de tarefas agendadas, alterações em chaves de Run no registro e binários recém-adicionados à inicialização.
  • Treinar equipes em spear phishing direcionado com temática governamental e jurídica, especialmente em órgãos públicos e setores críticos.