Se dice que el actor de amenazas conocido como Bloody Wolf está involucrado en una campaña dirigida a Uzbekistán y Rusia, infectando sistemas con un troyano de acceso remoto conocido como NetSupport RAT.
El proveedor de ciberseguridad Kaspersky está rastreando esta actividad bajo el nombre de «Stan Goulds». Se sabe que este actor de amenazas ha estado activo desde al menos 2023 y ha orquestado ataques de phishing contra los sectores manufacturero, financiero y de TI en Rusia, Kirguistán, Kazajstán y Uzbekistán.
Se estima que la campaña causó alrededor de 50 víctimas en Uzbekistán y 10 dispositivos en Rusia también se vieron afectados. Se han confirmado otros contagios, en menor medida, en Kazajstán, Turquía, Serbia y Bielorrusia. También se han registrado intentos de infección en dispositivos de agencias gubernamentales, empresas de logística, instalaciones médicas e instituciones educativas.
«Dado que Stangur apunta a instituciones financieras, creemos que su principal motivo es el beneficio financiero», señaló Kaspersky. «Dicho esto, su uso intensivo de RAT también podría indicar ciberespionaje».
La explotación de NetSupport, una herramienta legítima de administración remota, es un punto de partida para los atacantes que han utilizado anteriormente STRRAT (también conocido como Strigoi Master) en sus ataques. En noviembre de 2025, Group-IB documentó un ataque de phishing dirigido a organizaciones en Kirguistán para distribuir herramientas.
La cadena de ataque es muy simple: un correo electrónico de phishing cargado con un archivo adjunto PDF malicioso se utiliza como plataforma de lanzamiento para provocar una infección. El documento PDF tiene enlaces incrustados que, al hacer clic, conducen a la descarga de un cargador malicioso que maneja múltiples tareas.
Muestra un mensaje de error falso para dar la impresión de que la aplicación no puede ejecutarse en la máquina de la víctima. Compruebe si el número de intentos de instalación de RAT anteriores es inferior a 3. Si este número alcanza o supera el límite, el cargador arroja un mensaje de error: «Límite de intentos alcanzado. Intente con otra computadora». Descargue e inicie NetSupport RAT desde uno de varios dominios externos. Para garantizar la persistencia de NetSupport RAT, configure un script de ejecución automática en su carpeta de inicio, agregue el script de inicio de NetSupport (‘run.bat’) a la clave de ejecución automática en el registro y cree una tarea programada que desencadene la ejecución del mismo script por lotes.
Kaspersky dijo que también identificó una carga útil de botnet Mirai montada en la infraestructura asociada con Bloody Wolf, lo que plantea la posibilidad de que el actor haya ampliado su arsenal de malware para apuntar a dispositivos IoT.
«Se alcanzaron más de 60 objetivos, lo que es un número sorprendentemente grande para una campaña sofisticada y específica», concluyó la empresa. «Esto demuestra que estas partes están dispuestas a comprometer importantes recursos para sus operaciones».
Esta divulgación coincidió con una serie de campañas cibernéticas dirigidas a organizaciones rusas, incluida una realizada por ExCobalt, que obtuvo acceso inicial a redes específicas aprovechando fallas de seguridad conocidas y credenciales robadas a contratistas. Positive Technologies describió al adversario como uno de los «grupos más peligrosos» que atacan a las organizaciones rusas.
Este ataque incluye el uso de una variedad de herramientas, junto con un intento de desviar las credenciales de Telegram y el historial de mensajes, así como las credenciales de Outlook Web Access, de un host comprometido mediante la inyección de código malicioso en la página de inicio de sesión.
CobInt, una conocida puerta trasera utilizada por el grupo. Taquillas como Babuk y LockBit. PUMAKIT, junto con versiones anteriores conocidas como Facefish (febrero de 2021), Kitsune (febrero de 2022) y Megatsune (noviembre de 2023), es un rootkit de kernel para escalar privilegios, ocultar archivos y directorios, y ocultarse de las herramientas del sistema. El uso de Kitsune también se asoció con el grupo de amenazas conocido como Sneaky Wolf (también conocido como Sneaking Leprachaun) por BI.ZONE. Octopus es un conjunto de herramientas basado en Rust que se utiliza para escalar privilegios en sistemas Linux comprometidos.
«El grupo ha cambiado sus tácticas de acceso inicial, cambiando su enfoque de explotar vulnerabilidades de un día en servicios corporativos disponibles en Internet (como Microsoft Exchange) a infiltrarse en la infraestructura de sus objetivos principales a través de contratistas», dijo Positive Technologies.
Las instituciones estatales rusas, las empresas científicas y las organizaciones de TI también están siendo atacadas por un atacante previamente desconocido conocido como Punishing Owl, que roba y filtra datos en la web oscura. Se sospecha que el grupo es una organización hacktivista con motivaciones políticas, ha estado activo desde diciembre de 2025 y una de sus cuentas de redes sociales está controlada desde Kazajstán.
Este ataque utiliza un correo electrónico de phishing que contiene un archivo ZIP protegido con contraseña. Este archivo contiene accesos directos de Windows (LNK) disfrazados de documentos PDF. Cuando se abre un archivo LNK, se ejecuta un comando de PowerShell que descarga un ladrón llamado ZipWhisper desde un servidor remoto, recopila datos confidenciales y los carga en el mismo servidor.
Otro grupo de amenazas que tiene la vista puesta en Rusia y Bielorrusia es Vortex Werewolf. El objetivo final del ataque es implementar Tor y OpenSSH para facilitar el acceso remoto persistente. La campaña fue expuesta previamente por Cyble y Seqrite Labs en noviembre de 2025, y este último la llamó Operación SkyCloak.
Source link
