کمیته رکن چهارم– گروه تهدیدگر Bloody Wolf از ژوئن ۲۰۲۵ حملات سایبری هدفمندی را علیه نهادها و سازمانهای حساس در قرقیزستان آغاز کرده و از اکتبر همان سال این کمپین را به ازبکستان نیز گسترش داده است. این حملات با بهرهگیری از فایلهای JAR و بدافزار NetSupport RAT، سیستمهای هدف را برای جاسوسی و کنترل از راه دور آلوده میکنند.
به گزارش کمیته رکن چهارم، مهاجمان با ارسال ایمیلهایی با ظاهر رسمی و منتسب به نهادهای دولتی، بهویژه وزارت دادگستری قرقیزستان، قربانیان را ترغیب به باز کردن فایلهای PDF یا لینکهای جعلی میکنند. این لینکها فایلهای جاوای مخربی را در اختیار کاربر قرار میدهند که با اجرای آنها، بدافزار NetSupport RAT روی سیستم قربانی نصب میشود.
در مراحل این حمله، فایل JAR ابتدا یک Loader را فعال کرده و سپس بدافزار را از سرور مهاجم بارگیری و اجرا میکند. برای ماندگاری، از روشهایی مانند ایجاد Task زمانبندیشده، تغییر در رجیستری ویندوز و قرار دادن اسکریپت در پوشه Startup استفاده میشود.
در حملات به ازبکستان، مهاجمان با استفاده از Geofencing، فقط کاربرانی را هدف قرار دادهاند که از داخل این کشور وارد لینک میشوند. در صورت شناسایی موقعیت خارج از کشور، کاربر به وبسایت رسمی دولت هدایت میشود.
تحلیل فنی نشان میدهد مهاجمان از نسخههای قدیمی Java 8 و NetSupport RAT استفاده میکنند، اما با ترکیب فیشینگ و ابزارهای در دسترس، حملات موثری را طراحی کردهاند. این کمپین نمونهای از استفاده ساده اما مؤثر از ابزارهای عمومی در حملات سایبری منطقهای است.
