Netcrook Logo
👤 AUDITWOLF
🗓️ 27 Nov 2025   🌍 Asia

Lobos Fantasma en Asia Central: Cómo una Manada de Hackers Sombríos Aprovecha la Confianza para Invadir Redes Gubernamentales

La última campaña de Bloody Wolf utiliza viejos trucos de Java y la imitación gubernamental para infiltrarse en sistemas estatales y financieros en Kirguistán y Uzbekistán.

Datos Rápidos

  • Los hackers de Bloody Wolf se hacen pasar por ministerios gubernamentales para desplegar malware.
  • Los ataques comenzaron en Kirguistán en junio de 2025 y se expandieron a Uzbekistán en octubre de 2025.
  • Las víctimas son engañadas para instalar archivos Java maliciosos disfrazados de documentos oficiales.
  • La campaña utiliza NetSupport RAT, una herramienta de acceso remoto, para controlar los sistemas infectados.
  • Se emplea geovallado para atacar solo a usuarios dentro de Uzbekistán, eludiendo la detección global.

Los Lobos Liberados: Anatomía de una Cacería Cibernética Moderna

Imagina abrir lo que parece ser un documento oficial del gobierno - solo para, sin saberlo, abrir las puertas a intrusos digitales. Esta es la escalofriante realidad que enfrentan trabajadores gubernamentales y financieros en Kirguistán y Uzbekistán, donde un grupo de hackers conocido como Bloody Wolf ha estado expandiendo silenciosamente su alcance. ¿Su arma preferida? Un malware basado en Java, antiguo pero confiable, entregado bajo la apariencia de comunicaciones estatales legítimas.

Según un reciente informe de Group-IB y autoridades kirguisas, la campaña de phishing de Bloody Wolf comenzó a apuntar a instituciones de Kirguistán a mediados de 2025 y poco después puso la mira en la vecina Uzbekistán. Utilizando correos electrónicos que imitan el aspecto y tono de la correspondencia del Ministerio de Justicia, los atacantes atraen a las víctimas para que descarguen lo que parecen ser archivos PDF inofensivos. Ocultos en su interior se encuentran archivos Java Archive (JAR) que, si se ejecutan, liberan el infame NetSupport RAT - una herramienta de acceso remoto diseñada originalmente para soporte informático, pero ahora reutilizada para espionaje y robo.

Viejos Trucos, Nuevos Objetivos: Por Qué Funciona

El enfoque de Bloody Wolf es tan simple como efectivo. El grupo aprovecha la ingeniería social - engañar a las personas para que actúen en contra de sus propios intereses - combinada con tecnología antigua pero robusta. Se instruye a las víctimas para instalar Java (a menudo ausente en equipos modernos), y una vez que el archivo JAR se ejecuta, descarga e instala silenciosamente NetSupport RAT. Desde allí, los atacantes pueden controlar el ordenador de forma remota, recolectar datos sensibles y asegurarse de permanecer indetectables mediante trucos de persistencia, como tareas programadas y scripts ocultos de inicio.

La expansión de la campaña a Uzbekistán llegó con una novedad: el geovallado. Solo los usuarios que acceden a los enlaces maliciosos desde dentro de Uzbekistán reciben los archivos peligrosos; los forasteros son redirigidos al sitio gubernamental real. Esta estrategia ayuda a Bloody Wolf a evadir el escrutinio internacional y enfocar sus ataques localmente.

Raíces y Ramificaciones: El Panorama General

Bloody Wolf ha estado merodeando las estepas digitales al menos desde finales de 2023, atacando previamente en Kazajistán y Rusia con tácticas similares. Sus operaciones subrayan una tendencia creciente: el uso de herramientas asequibles y disponibles en el mercado para lanzar ciberataques sofisticados y adaptados a regiones específicas. NetSupport RAT, en particular, se ha convertido en un favorito entre los ciberdelincuentes por su flexibilidad y facilidad de despliegue - irónicamente, sus orígenes legítimos como herramienta de soporte técnico hacen que sea menos probable que levante sospechas.

La rápida digitalización de Asia Central, junto con recursos limitados en ciberseguridad, convierte a la región en un terreno de caza ideal. A medida que gobiernos, bancos y proveedores de TI amplían sus servicios en línea, se vuelven objetivos tentadores para adversarios ansiosos por explotar la confianza y el software desactualizado. Las implicaciones políticas son profundas: ataques como estos no solo amenazan datos y finanzas, sino que también siembran desconfianza en las instituciones públicas, con el potencial de desestabilizar sectores enteros.

La campaña de Bloody Wolf es un recordatorio contundente de que los depredadores cibernéticos suelen depender menos de código de última generación y más de engaños probados y un agudo entendimiento de la naturaleza humana. Mientras Asia Central se encuentra en la mira, la vigilancia y la educación - no solo la tecnología - serán clave para mantener a los lobos a raya.

WIKICROOK

  • NetSupport RAT: NetSupport RAT es una herramienta de acceso remoto que a menudo es abusada por hackers para controlar computadoras en secreto y robar información sensible.
  • Java Archive (JAR): Un Java Archive (JAR) es un formato de archivo comprimido para empaquetar aplicaciones y librerías Java, a veces utilizado para ocultar y distribuir código malicioso.
  • Spear: El spear phishing es un ciberataque dirigido que utiliza correos electrónicos personalizados para engañar a individuos u organizaciones específicas y hacerles revelar información sensible.
  • Geovallado: El geovallado restringe o habilita funciones de software según la ubicación física de un dispositivo, utilizando a menudo datos de GPS o dirección IP para establecer límites.
  • Mecanismos de Persistencia: Los mecanismos de persistencia son métodos utilizados por el malware para permanecer activo en un dispositivo, como agregarse a carpetas de inicio o tareas programadas del sistema.
Cybersecurity Bloody Wolf Central Asia
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news