كشفت شركة الأمن السيبراني Group-IB عن قيام مجموعة قرصنة متطورة تُعرف باسم Bloody Wolf بتكثيف عمليات التجسس الإلكتروني في آسيا الوسطى، مستهدفةً جهات حكومية وقطاعات خاصة. تأتي هذه التهديدات، التي تستغل ثغرات أمنية عبر ملفات PDF، لتشكل ظاهرة مقلقة تتطلب يقظة متزايدة.
منذ أواخر يونيو 2025، نفذت المجموعة حملات تصيد احتيالي موجهة، تركز بشكل أساسي على المنظمات في قيرغيزستان وأوزبكستان. وتسعى المجموعة إلى استغلال الثقة من خلال انتحال صفة جهات حكومية رسمية، مثل وزارة العدل، لخداع الضحايا ودفعهم لتسليم أنظمة المعلومات الخاصة بهم.
حملات Bloody Wolf تستهدف جهات حكومية في آسيا الوسطى
تعتمد الحملات على ملفات PDF خبيثة يتم إرسالها عبر البريد الإلكتروني، محاكيةً المراسلات الرسمية. غالباً ما تحمل هذه المستندات عناوين توحي بمسائل قانونية عاجلة أو مواد قضائية، مما يدفع المستلمين إلى النقر على الروابط المضمنة. يؤدي النقر على هذه الروابط إلى بدء عملية إصابة متعددة المراحل، مصممة لتجاوز الدفاعات الأمنية والسماح بالوصول المستمر إلى شبكة الضحية.
لاحظ محللو الأمن السيبراني في Group-IB هذه الموجة الجديدة من الهجمات، مشيرين إلى أن المجموعة تحولت من استخدام برامج ضارة تجارية مثل STRRAT إلى نشر أداة NetSupport Remote Administration Tool، وهي أداة شرعية ولكن تم استخدامها بشكل خبيث. يتيح هذا التحول الاستراتيجي للمهاجمين التخفي ضمن حركة المرور الإدارية العادية، مما يجعل اكتشافهم أكثر صعوبة لفرق الأمن في الشركات.
تُظهر هذه الحملات مستوى عالٍ من التكيف الإقليمي، بما في ذلك استخدام اللغات المحلية وتقنيات تحديد الموقع الجغرافي (geo-fencing) لتقييد توصيل الحمولة الخبيثة إلى أهداف محددة داخل بلدان معينة. ويُعد التأثير عميقاً، حيث يمنح المهاجمين سيطرة كاملة عن بعد على نقاط النهاية المصابة، مما يسهل استخراج البيانات، ومراقبة جرد الأنظمة، والحركة الجانبية داخل البنية التحتية الحيوية.
سلسلة العدوى وتكتيكات الثبات
تعتمد الاستراتيجية التقنية لمجموعة Bloody Wolf على ملفات Java Archive (JAR) الخبيثة لتنفيذ الحمولة. يُطالب الضحايا الذين يتفاعلون مع الملف الخادع بتحديث Java، وهو ما يستخدم كذريعة لإخفاء تنفيذ أداة التحميل الخبيثة. تم تجميع ملفات JAR باستخدام Java 8، وهي غير مشفرة ولكنها فعالة للغاية.
في حملة أوزبكستان، استخدمت البنية التحتية تقنية تحديد الموقع الجغرافي، حيث كانت الطلبات الواردة من داخل البلاد وحدها هي التي تؤدي إلى تنزيل ملف JAR الخبيث، بينما تمت إعادة توجيه الطلبات الأخرى إلى بوابات حكومية شرعية. هذا التكتيك يضمن استهداف الجهة المحددة بدقة.
بمجرد التشغيل، تضمن أداة التحميل (JAR loader) الثبات من خلال طرق متكررة. تقوم البرمجية الخبيثة بإسقاط ملف دفعي (batch file) في مجلد بدء تشغيل Windows وتعديل مفاتيح التسجيل، لتنفيذ أوامر مثل cmd.exe لضمان إطلاق أداة NetSupport RAT عند إعادة تشغيل النظام.
إضافة إلى ذلك، يتم إنشاء مهمة مجدولة باستخدام أداة schtasks لضمان التنفيذ. هذه التكرارية تضمن بقاء NetSupport RAT نشطاً على النظام، مما يسمح للمهاجمين بالحفاظ على وجود مستمر بينما يعرضون رسائل خطأ وهمية لتشتيت المستخدم عن النشاط الخبيث الذي يحدث في الخلفية.