Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc Bloody Wolf được cho là đã triển khai một chiến dịch tấn công mạng nhắm vào Kyrgyzstan từ ít nhất tháng 6/2025, với mục tiêu phát tán NetSupport RAT thông qua chiêu trò giả mạo tài liệu chính phủ. Đến tháng 10/2025, hoạt động này tiếp tục lan sang Uzbekistan, theo báo cáo của các nhà nghiên cứu Amirbek Kurbanov và Volen Kayo thuộc Group-IB, phối hợp với Ukuk – doanh nghiệp nhà nước thuộc Văn phòng Tổng Công tố Cộng hòa Kyrgyzstan. Các cuộc tấn công nhắm vào các lĩnh vực như tài chính, chính phủ và công nghệ thông tin (CNTT).
Group-IB cho biết những kẻ tấn công thường mạo danh Bộ Tư pháp Kyrgyzstan, sử dụng các tệp PDF và tên miền có giao diện chính thức để dẫn dụ nạn nhân tải về tệp Java Archive (JAR) độc hại chứa NetSupport RAT. Sự kết hợp giữa kỹ thuật xã hội và công cụ thương mại dễ sử dụng giúp nhóm này duy trì hoạt động hiệu quả nhưng vẫn giữ mức độ ẩn mình thấp.
Chuỗi tấn công có cùng mô hình: nạn nhân được dẫn dụ nhấp vào liên kết tải xuống trình tải JAR độc hại, đi kèm hướng dẫn cài đặt Java Runtime. Email khẳng định việc cài đặt là cần thiết để xem tài liệu, nhưng thực chất nhằm kích hoạt trình tải. Sau khi chạy, trình tải sẽ lấy payload NetSupport RAT từ hạ tầng của kẻ tấn công và thiết lập cơ chế bền bỉ thông qua ba phương thức:
Group-IB cho biết các trình tải JAR được xây dựng bằng Java 8 (phát hành từ năm 2014), cho thấy nhóm này có thể đang dùng công cụ tạo JAR hoặc template riêng. Tải trọng NetSupport RAT cũng là phiên bản cũ từ tháng 10/2013, nhưng vẫn đủ để duy trì quyền kiểm soát hệ thống bị nhiễm.
Theo kết luận của Group-IB, Bloody Wolf cho thấy cách các công cụ thương mại giá rẻ có thể bị biến thành vũ khí trong các chiến dịch tấn công tinh vi, đặc biệt khi kết hợp kỹ thuật xã hội nhắm vào các tổ chức chính phủ ở khu vực Trung Á. (thehackernews)
Group-IB cho biết những kẻ tấn công thường mạo danh Bộ Tư pháp Kyrgyzstan, sử dụng các tệp PDF và tên miền có giao diện chính thức để dẫn dụ nạn nhân tải về tệp Java Archive (JAR) độc hại chứa NetSupport RAT. Sự kết hợp giữa kỹ thuật xã hội và công cụ thương mại dễ sử dụng giúp nhóm này duy trì hoạt động hiệu quả nhưng vẫn giữ mức độ ẩn mình thấp.
Cách thức tấn công và mở rộng hoạt động
Bloody Wolf là một nhóm tin tặc không rõ nguồn gốc, từng dùng các công cụ như STRRAT và NetSupport để nhắm vào tổ chức ở Kazakhstan và Nga, và được cho là hoạt động ít nhất từ cuối năm 2023. Việc mở rộng sang Kyrgyzstan và Uzbekistan vẫn dựa trên chiến thuật quen thuộc: giả mạo email từ các bộ ngành uy tín để phát tán liên kết hoặc tệp đính kèm chứa mã độc.Chuỗi tấn công có cùng mô hình: nạn nhân được dẫn dụ nhấp vào liên kết tải xuống trình tải JAR độc hại, đi kèm hướng dẫn cài đặt Java Runtime. Email khẳng định việc cài đặt là cần thiết để xem tài liệu, nhưng thực chất nhằm kích hoạt trình tải. Sau khi chạy, trình tải sẽ lấy payload NetSupport RAT từ hạ tầng của kẻ tấn công và thiết lập cơ chế bền bỉ thông qua ba phương thức:
- Tạo tác vụ theo lịch
- Thêm giá trị vào Windows Registry
- Thả tập lệnh batch vào thư mục Startup
Group-IB cho biết các trình tải JAR được xây dựng bằng Java 8 (phát hành từ năm 2014), cho thấy nhóm này có thể đang dùng công cụ tạo JAR hoặc template riêng. Tải trọng NetSupport RAT cũng là phiên bản cũ từ tháng 10/2013, nhưng vẫn đủ để duy trì quyền kiểm soát hệ thống bị nhiễm.
Theo kết luận của Group-IB, Bloody Wolf cho thấy cách các công cụ thương mại giá rẻ có thể bị biến thành vũ khí trong các chiến dịch tấn công tinh vi, đặc biệt khi kết hợp kỹ thuật xã hội nhắm vào các tổ chức chính phủ ở khu vực Trung Á. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
