Bloody Wolf usa NetSupport RAT em campanha de phishing contra Uzbequistão e Rússia

A operação mira organizações de manufatura, finanças, TI, governo, logística, saúde e educação com PDFs maliciosos que levam a um carregador responsável por instalar e persistir o NetSupport RAT.

Componente	Campanha do ator Bloody Wolf, também rastreada como Stan Ghouls, abusando do NetSupport RAT como ferramenta de acesso remoto em sistemas Windows.
Vetor	E-mails de spear-phishing com anexos PDF maliciosos; os documentos incorporam links que levam ao download de um carregador malicioso quando a vítima interage com o conteúdo.
Impacto	Instalação de RAT com acesso remoto persistente, uso de mensagens falsas de erro para mascarar a execução e mecanismos de persistência em pasta de inicialização, chave de autorun do Registro e tarefa agendada.
Prioridade	Revisar instalações de NetSupport não autorizadas, bloquear a cadeia de phishing por anexos PDF e links externos, e caçar artefatos de persistência associados a scripts de inicialização e tarefas agendadas.
Setores	Manufatura, finanças e TI são alvos históricos do ator; também houve tentativas em organizações governamentais, logística, instalações médicas e instituições educacionais.
Distribuição	Cerca de 50 vítimas foram estimadas no Uzbequistão e 10 dispositivos na Rússia, com infecções menores em Cazaquistão, Turquia, Sérvia e Belarus.

Resumo técnico

Bloody Wolf foi vinculado a uma campanha de spear-phishing voltada principalmente ao Uzbequistão e à Rússia, com uso do NetSupport RAT como carga de acesso remoto. A operação representa uma mudança relevante no conjunto de ferramentas associado ao ator, que anteriormente havia sido relacionado ao uso de STRRAT, também conhecido como Strigoi Master. O abuso de uma ferramenta legítima de administração remota aumenta a dificuldade de triagem porque a presença do binário pode parecer compatível com suporte técnico autorizado, exigindo correlação com origem do instalador, caminho de execução, persistência criada e comportamento de rede posterior.

A atividade é rastreada como Stan Ghouls e está associada a operações desde pelo menos 2023. O histórico inclui ataques de phishing direcionado contra setores de manufatura, finanças e tecnologia da informação em Rússia, Quirguistão, Cazaquistão e Uzbequistão. Na campanha descrita, o volume estimado passa de 60 alvos afetados, com concentração no Uzbequistão e impacto adicional na Rússia. A motivação indicada pelo conjunto de alvos financeiros sugere interesse em ganho econômico, mas o uso recorrente de RATs mantém aberta a hipótese de coleta de inteligência, acesso persistente e observação prolongada de ambientes comprometidos.

Fluxo técnico

A cadeia começa com e-mails de spear-phishing contendo anexos PDF maliciosos. O PDF atua como isca e incorpora links que direcionam a vítima para o download de um carregador. O detalhe defensivo importante é que o anexo não precisa carregar toda a lógica maliciosa internamente; ele funciona como ponto de transição entre a mensagem inicial e a infraestrutura externa usada para entregar a próxima etapa. Essa separação permite que filtros baseados apenas no arquivo anexado deixem passar a mensagem caso não avaliem o destino incorporado, a reputação do domínio e o encadeamento de redirecionamento.

Depois da interação com o link, o carregador conduz várias ações. Ele exibe uma mensagem falsa de erro para induzir a vítima a acreditar que o aplicativo não é compatível com o sistema. Também verifica se o número de tentativas anteriores de instalação do RAT é inferior a três; quando o limite é atingido, apresenta a mensagem de limite de tentativas. Esse comportamento reduz ruído operacional, dificulta repetição em ambientes de análise e pode ajudar o operador a evitar múltiplas execuções previsíveis no mesmo host.

A etapa principal do carregador é obter o NetSupport RAT a partir de domínios externos e iniciá-lo no sistema comprometido. Para manter acesso após reinicialização, a cadeia cria persistência por caminhos conhecidos de inicialização: script na pasta Startup, script de inicialização chamado run.bat referenciado em chave de autorun do Registro e tarefa agendada para disparar a execução do mesmo lote. Esses pontos são relevantes para defesa porque conectam uma ferramenta legítima de administração remota a uma origem de instalação suspeita e a mecanismos de persistência que não devem aparecer sem processo formal de suporte remoto.

Superfície afetada

A superfície exposta inclui estáções Windows de usuários que recebem mensagens direcionadas com documentos PDF e têm permissão para abrir links externos. Organizações com processos financeiros, equipes administrativas, operações de manufatura e áreas de TI aparecem como alvos de maior interesse pelo histórico do ator. A campanha também registrou tentativas em órgãos governamentais, empresas de logística, unidades médicas e instituições de ensino, o que amplia a avaliação para ambientes em que usuários finais têm contato frequente com documentos recebidos de fora da organização.

A presença do NetSupport em si não confirma comprometimento, pois a ferramenta possui uso legítimo. O risco surge quando a instalação não está associada a inventário aprovado, quando o instalador foi obtido por fluxo iniciado em PDF, quando há scripts de inicialização criados sem mudança documentada ou quando a comunicação externa não corresponde aos servidores administrados pela equipe interna. Esse cenário exige que times de segurança tratem NetSupport como artefato de dupla utilização e cruzem telemetria de endpoint, proxy, e-mail e inventário de software.

Sistemas Windows de usuários que abriram PDFs recebidos por spear-phishing e interagiram com links incorporados.
Ambientes em Uzbequistão e Rússia com maior concentração de vítimas, além de ocorrências menores em Cazaquistão, Turquia, Sérvia e Belarus.
Setores de manufatura, finanças, TI, governo, logística, saúde e educação citados como parte da superfície observada.
Hosts com NetSupport instalado fora do processo aprovado de suporte remoto ou sem justificativa no inventário corporativo.

Hunting e telemetria

A investigação deve reconstruir o encadeamento entre e-mail, PDF, navegação externa, criação de arquivo, execução do carregador e persistência. Em gateways de e-mail, a prioridade é localizar mensagens direcionadas com anexos PDF que contenham links externos e que tenham sido entregues a usuários de áreas sensíveis. Em proxies e EDR, a análise deve procurar conexões iniciadas logo após a abertura do documento, download de executáveis ou arquivos de suporte a partir de domínios externos e execução subsequente de componentes relacionados ao NetSupport.

No endpoint, os sinais mais fortes estão nos mecanismos de persistência e na sequência temporal. Um run.bat criado próximo ao momento de abertura do PDF, referência de autorun no Registro e tarefa agendada acionando o mesmo script formam uma cadeia coerente com a campanha. A mensagem falsa de erro e a limitação de tentativas também são comportamentos úteis para análise de sandbox e relato do usuário, especialmente quando a vítima informa que o arquivo aparentou falhar, mas novos processos e conexões surgiram logo depois.

O contexto também indica que cargas Mirai foram encontradas em infraestrutura associada a Bloody Wolf, levantando a possibilidade de expansão de arsenal para dispositivos IoT. Essa observação não deve ser tratada como confirmação de infecção por Mirai em todos os casos da campanha com NetSupport, mas justifica revisar telemetria de borda e dispositivos expostos quando houver sobreposição de infraestrutura, tentativas de download incomuns ou tráfego compatível com botnets IoT.

E-mails com PDF anexado, destinatários selecionados e links externos incorporados no documento.
Criação ou modificação de run.bat, entradas de autorun no Registro e tarefas agendadas relacionadas ao mesmo script.
Instalações de NetSupport sem ticket, sem pacote corporativo aprovado ou iniciadas após navegação originada de PDF.
Mensagens de erro aparentes relatadas pelo usuário antes do surgimento de processos persistentes ou conexões remotas.
Eventos de download por domínios externos imediatamente após abertura de documento recebido por e-mail.

Mitigação

A resposta deve começar pela contenção dos hosts com NetSupport não autorizado ou com persistência associada ao fluxo descrito. O isolamento reduz a chance de interação remota do operador enquanto a equipe preserva evidências de e-mail, histórico de navegação, arquivos baixados, chaves de Registro, tarefas agendadas e artefatos de inicialização. A remoção deve cobrir tanto o RAT quanto os mecanismos que o relançam, porque apagar apenas o binário pode deixar scripts e tarefas preparados para nova execução quando o arquivo reaparecer.

No controle preventivo, a organização deve endurecer a análise de PDFs recebidos por e-mail, expandir inspeção de links incorporados, restringir download de executáveis por navegação originada de documentos e manter lista de ferramentas de administração remota aprovadas. NetSupport e softwares equivalentes devem ter proprietário, versão, método de instalação e infraestrutura de controle documentados. Qualquer desvio desse padrão deve gerar alerta, principalmente em estáções de usuários com acesso a sistemas financeiros, credenciais administrativas ou dados operacionais sensíveis.

A comunicação com usuários afetados deve coletar o anexo recebido, horário aproximado de abertura, mensagem exibida e qualquer comportamento inesperado do sistema. Esses dados ajudam a separar falhas comuns de execução da isca usada pelo carregador. Para ambientes com presença regional nos países citados, a revisão deve incluir unidades locais, contratados e organizações parceiras, pois campanhas de phishing direcionado costumam explorar relações de confiança e rotinas documentais entre entidades próximas.

Isolar hosts com NetSupport não autorizado e preservar artefatos de e-mail, navegação, endpoint e persistência.
Remover script de inicialização, entrada de autorun e tarefa agendada associados ao fluxo malicioso antes de liberar o ativo.
Validar inventário de ferramentas de suporte remoto e alertar para instalações fora do pacote corporativo aprovado.
Bloquear ou submeter a detonação links externos em PDFs recebidos de remetentes não confiáveis ou incomuns.
Revisar proxies, EDR e logs de e-mail para hosts que abriram documentos antes de conexões externas e criação de persistência.

Bloody Wolf usa NetSupport RAT em campanha de phishing contra Uzbequistão e Rússia

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Bloody Wolf usa NetSupport RAT em campanha de phishing contra Uzbequistão e Rússia

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato