Netcrook Logo
👤 CRYSTALPROXY
🗓️ 10 Feb 2026   🌍 Asia

Campanelli d’allarme nella posta in arrivo: come il blitz di phishing di Bloody Wolf ha scatenato un’epidemia di RAT in Asia Centrale

Un sofisticato gruppo di cybercriminali sta conducendo attacchi mirati con PDF “armati” e il NetSupport RAT, mettendo in massima allerta i settori finanziario, manifatturiero e governativo.

Quando una “notifica del tribunale” arriva nella tua casella di posta, è facile farsi prendere dal panico. Ma per decine di organizzazioni in Asia Centrale e in Russia, quell’ansia è diventata una realtà costosa. Dietro PDF dal tono ufficiale e un gergo legale incalzante si nascondevano gli hacker di Bloody Wolf - un gruppo ben finanziato che sta orchestrando una nuova ondata di attacchi di spear-phishing, lasciandosi alle spalle una scia di reti compromesse e team IT in allerta.

Dati rapidi

  • Bloody Wolf ha preso di mira oltre 60 vittime in Uzbekistan, Russia, Kazakistan e oltre.
  • Gli attaccanti hanno usato email con finte notifiche del tribunale e PDF malevoli per distribuire loader di malware basati su Java.
  • L’operazione ha distribuito NetSupport RAT, garantendo pieno accesso remoto alle macchine infette.
  • Persistenza ottenuta tramite script, chiavi di registro e attività pianificate per un controllo furtivo.
  • Kaspersky ha collegato la campagna a Bloody Wolf grazie a somiglianze nel codice e nei documenti-esca.

Phishing di precisione

Sotto la superficie di questa campagna si nasconde un modello di moderna cyber-spionaggio: localizzato, credibile e tecnicamente astuto. Email redatte in uzbeko e russo imitavano convocazioni legali, adescando le vittime con un PDF intitolato in modo da sembrare un documento ufficiale del tribunale. Ma al posto di istruzioni legali, i destinatari si trovavano davanti a un invito a installare Java - un varco per il loader personalizzato degli hacker, distribuito tramite domini web attentamente controllati.

Il loader, camuffato con un messaggio d’errore convincente (“Questa applicazione non può essere eseguita sul tuo sistema operativo.”), limitava i tentativi di installazione per evitare il rilevamento. Se andava a buon fine, scaricava silenziosamente una suite di 20 file di NetSupport RAT - strumenti nati per la legittima amministrazione remota, ora trasformati in chiavi universali digitali per gli attaccanti. Il loader garantiva la propria persistenza inserendosi nella cartella Esecuzione automatica di Windows, nel registro e come attività pianificata, rendendo la bonifica un incubo per i difensori.

L’infrastruttura degli attaccanti era solida e agile: oltre 35 domini ruotavano per ospitare il malware, con alcuni server già collegati in passato ad attività di botnet. Sebbene la maggior parte delle vittime fosse in Uzbekistan e Russia, la portata del gruppo si estendeva anche a Kazakistan, Turchia, Serbia e Bielorussia - come danni collaterali o come obiettivi in espansione.

L’analisi di Kaspersky ha evidenziato impronte rivelatrici: codice raro del loader Java, PDF-esca identici e sovrapposizioni tra domini puntavano tutti a Bloody Wolf, noto anche come Stan Ghouls. L’evoluzione del gruppo dall’uso di STRRAT a NetSupport RAT segnala la volontà di adattarsi e di trasformare strumenti legittimi in armi per profitto criminale.

Difendersi dal branco

Per le organizzazioni nel mirino, la vigilanza è fondamentale. Gli esperti di sicurezza raccomandano la scansione regolare degli allegati email, il blocco delle esecuzioni Java non attendibili, il monitoraggio dei file legati a NetSupport e l’osservazione di modifiche sospette all’avvio automatico. Le soluzioni di Endpoint Detection and Response (EDR), insieme a threat intelligence aggiornata, restano difese chiave.

Man mano che le campagne di Bloody Wolf diventano più audaci e sofisticate, la loro combinazione di ingegneria sociale e finezza tecnica è un monito netto: nella natura selvaggia digitale, i lupi stanno diventando più intelligenti - e anche i difensori devono esserlo.

WIKICROOK

  • NetSupport RAT: NetSupport RAT è uno strumento di accesso remoto spesso abusato dagli hacker per controllare segretamente i computer e rubare informazioni sensibili.
  • Spear: Lo spear phishing è un attacco informatico mirato che usa email personalizzate per ingannare specifiche persone o organizzazioni e indurle a rivelare informazioni sensibili.
  • Java Loader: Un Java Loader è un piccolo programma Java che consegna e avvia malware sul sistema della vittima, spesso usato in attacchi informatici multi-fase.
  • Meccanismo di persistenza: Un meccanismo di persistenza è un metodo usato dal malware per restare attivo su un sistema, sopravvivendo ai riavvii e ai tentativi di rimozione da parte degli utenti o degli strumenti di sicurezza.
  • Endpoint Detection and Response (EDR): L’Endpoint Detection and Response (EDR) comprende strumenti di sicurezza che monitorano i computer alla ricerca di attività sospette, ma possono non rilevare attacchi basati sul browser che non lasciano file.
Phishing Attacks Bloody Wolf NetSupport RAT
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news