حقائق سريعة

• يقوم قراصنة Bloody Wolf بانتحال صفة وزارات حكومية لنشر البرمجيات الخبيثة.
• بدأت الهجمات في قيرغيزستان في يونيو 2025 وامتدت إلى أوزبكستان بحلول أكتوبر 2025.
• يتم خداع الضحايا لتثبيت ملفات جافا خبيثة متخفية في شكل مستندات رسمية.
• تستخدم الحملة أداة NetSupport RAT، وهي أداة وصول عن بُعد، للتحكم في الأنظمة المصابة.
• يتم استخدام التسييج الجغرافي لاستهداف المستخدمين داخل أوزبكستان فقط، لتجنب الكشف العالمي.

إطلاق الذئاب: تشريح مطاردة إلكترونية حديثة

تخيل أن تفتح مستندًا يبدو رسميًا من الحكومة - لكن في الواقع تفتح الباب أمام متسللين رقميين دون أن تدري. هذه هي الحقيقة المرعبة التي يواجهها موظفو الحكومة والقطاع المالي في قيرغيزستان وأوزبكستان، حيث يقوم فريق قراصنة يُعرف باسم Bloody Wolf بتوسيع نطاقه بهدوء. سلاحهم المفضل؟ برمجيات خبيثة قديمة لكنها موثوقة تعتمد على جافا، يتم توزيعها تحت غطاء اتصالات حكومية موثوقة.

وفقًا لتقرير حديث من Group-IB وسلطات قيرغيزستان، بدأت حملة التصيد الاحتيالي لـ Bloody Wolf باستهداف مؤسسات قيرغيزية في منتصف 2025 وسرعان ما وجهت أنظارها إلى أوزبكستان المجاورة. باستخدام رسائل بريد إلكتروني تحاكي شكل ومضمون مراسلات وزارة العدل، يقوم المهاجمون بإغراء الضحايا لتنزيل مرفقات PDF تبدو بريئة. مخبأة داخل هذه الملفات توجد ملفات Java Archive (JAR)، والتي إذا تم تشغيلها تطلق أداة NetSupport RAT الشهيرة - وهي أداة وصول عن بُعد صُممت أصلاً لدعم تكنولوجيا المعلومات، لكنها أصبحت الآن تُستخدم للتجسس والسرقة.

حيل قديمة، أهداف جديدة: لماذا تنجح هذه الطريقة

نهج Bloody Wolf بسيط وفعال في الوقت نفسه. يعتمد الفريق على الهندسة الاجتماعية - خداع الأشخاص للتصرف ضد مصلحتهم - إلى جانب تقنيات قديمة لكنها قوية. يُطلب من الضحايا تثبيت جافا (غالبًا غير موجودة على الأجهزة الحديثة)، وبمجرد تشغيل ملف JAR، يقوم بتنزيل وتثبيت NetSupport RAT بصمت. من هناك، يمكن للمهاجمين التحكم في الكمبيوتر عن بُعد، وجمع البيانات الحساسة، وضمان بقائهم غير مكشوفين من خلال حيل استمرارية ذكية مثل المهام المجدولة وسيناريوهات بدء التشغيل المخفية.

جاء توسع الحملة إلى أوزبكستان مع لمسة جديدة: التسييج الجغرافي. فقط المستخدمون الذين يدخلون الروابط الخبيثة من داخل أوزبكستان يتم تزويدهم بالملفات الخطيرة؛ أما الآخرون فيتم تحويلهم إلى الموقع الحكومي الحقيقي. تساعد هذه الاستراتيجية Bloody Wolf على تجنب التدقيق الدولي والتركيز على أهدافهم المحلية.

الجذور والتداعيات: الصورة الأوسع

تجوب Bloody Wolf السهوب الرقمية منذ أواخر 2023 على الأقل، حيث سبق أن هاجمت كازاخستان وروسيا باستخدام أساليب مماثلة. تؤكد عملياتهم على اتجاه متزايد: استخدام أدوات جاهزة ورخيصة لإطلاق هجمات إلكترونية متطورة ومخصصة إقليميًا. أصبحت NetSupport RAT على وجه الخصوص مفضلة لدى مجرمي الإنترنت بسبب مرونتها وسهولة نشرها - ومن المفارقات أن أصولها الشرعية كأداة دعم فني تجعل اكتشافها أقل احتمالاً.

إن التحول الرقمي السريع في آسيا الوسطى، إلى جانب محدودية موارد الأمن السيبراني، يجعل المنطقة أرضًا خصبة للصيد. ومع توسع الحكومات والبنوك ومزودي تكنولوجيا المعلومات في الخدمات الإلكترونية، تصبح أهدافًا مغرية للخصوم الذين يتطلعون لاستغلال الثقة والبرمجيات القديمة. التداعيات السياسية عميقة: فالهجمات من هذا النوع لا تهدد البيانات والأموال فحسب، بل تزرع أيضًا الشك في المؤسسات العامة، مما قد يؤدي إلى زعزعة استقرار قطاعات بأكملها.

ويكيكروك

• NetSupport RAT: NetSupport RAT هي أداة وصول عن بُعد غالبًا ما يُسيء القراصنة استخدامها للتحكم السري في الحواسيب وسرقة المعلومات الحساسة.
• Java Archive (JAR): ملف Java Archive (JAR) هو تنسيق ملف مضغوط لتجميع تطبيقات ومكتبات جافا، ويُستخدم أحيانًا لإخفاء ونشر الشيفرات الخبيثة.
• Spear: التصيد الموجه (Spear phishing) هو هجوم إلكتروني يستهدف أفرادًا أو مؤسسات محددة عبر رسائل بريد إلكتروني مخصصة لخداعهم وكشف معلومات حساسة.
• Geofencing: التسييج الجغرافي هو تقييد أو تمكين ميزات البرامج بناءً على الموقع الجغرافي للجهاز، غالبًا باستخدام بيانات GPS أو عنوان IP لتحديد الحدود.
• Persistence Mechanisms: آليات الاستمرارية هي طرق تستخدمها البرمجيات الخبيثة للبقاء نشطة على الجهاز، مثل إضافة نفسها إلى مجلدات بدء التشغيل أو المهام المجدولة للنظام.