O grupo APT Lobo Sangrento intensificou-se desde junho de 2025 campanhas de spear phishing contra órgãos governamentais e empresas em países da Ásia Central, como Quirguistão e Uzbequistão, se passando por ministérios da Justiça em e-mails aparentemente oficiais.
Os atacantes enviam PDFs que simulam documentos jurídicos urgentes; ao clicar nos links internos, a vítima é levada a páginas que pedem uma “atualização de Java” e, na prática, baixam arquivos JAR maliciosos que iniciam a infecção.
Cadeia de infecção com NetSupport RAT
Os JARs, compilados em Java 8 e pouco ofuscados, atuam como carregadores personalizados: baixam binários do NetSupport Manager a partir da infraestrutura dos ataques, adicionam o programa de inicialização do Windows e criam tarefas agendadas para garantir persistência.
O malware cria redundância ao soltar arquivos .bat na pasta de Startup, alterar chaves de registro e configurar schtasks, tudo enquanto exibe mensagens de erro falsas para desviar a atenção do usuário.
Ao usar o NetSupport — uma ferramenta legítima de acesso remoto — o Bloody Wolf ganha controle total das máquinas (tela, arquivos, inventário, entrega lateral) e se camufla no meio do tráfego administrativo normal, o que dificulta a detecção por momentos de segurança.
Sofisticação regional
A campanha adapta idioma, conteúdo dos PDFs e domínios usados às realidades locais, e na fase focada no Uzbequistão ainda aplica geofencing: apenas acessos a partir do país recebem o JAR malicioso; os demais são redirecionados para sites governamentais legítimos.
Isso reduz a visibilidade para pesquisadores externos e sandboxes, mantendo o foco em alvos de governo, finanças e TI da região.
Medidas de proteção
- Tratar anexos PDF “oficiais” com cautela, verificando domínios e endereços antes de clicar em links ou baixar supostas atualizações de Java.
- Bloquear ou monitorar rigorosamente o uso de ferramentas de acesso remoto como NetSupport, permitindo apenas instâncias autorizadas.
- Monitore a criação de tarefas agendadas, alterações em chaves de execução no registro e binários recém-adicionados à inicialização.
- Treinar equipes em spear phishing direcionado a questões governamentais e jurídicas, especialmente em órgãos públicos e setores críticos.
