Tehdit aktörü olarak bilinen Kanlı Kurt NetSupport RAT sağlamak amacıyla en az Haziran 2025’ten bu yana Kırgızistan’ı hedef alan bir siber saldırı kampanyasına atfedildi.
Grup-IB araştırmacıları Amirbek Kurbanov ve Volen Kayo, Kırgız Cumhuriyeti Başsavcılığına bağlı bir devlet kuruluşu olan Ukuk ile işbirliği içinde yayınlanan bir raporda, Ekim 2025 itibarıyla faaliyetin Özbekistan’ı da kapsayacak şekilde genişlediğini söyledi. Saldırılar finans, hükümet ve bilgi teknolojisi (BT) sektörlerini hedef aldı.
“Bu tehdit aktörleri kendilerini taklit edecekler” [Kyrgyzstan’s] Singapur merkezli şirket, “Adalet Bakanlığı’nın resmi görünümlü PDF belgeleri ve alan adları aracılığıyla, NetSupport RAT’ı dağıtmak için tasarlanmış kötü amaçlı Java Arşivi (JAR) dosyalarını barındırdığını” söyledi.
“Sosyal mühendislik ve erişilebilir araçların bu birleşimi, Bloody Wolf’un düşük operasyonel profilini korurken etkili kalmasını sağlıyor.”
Kanlı Kurt, STRRAT ve NetSupport gibi araçları kullanarak Kazakistan ve Rusya’daki varlıkları hedef almak için hedef odaklı kimlik avı saldırıları gerçekleştiren, kaynağı bilinmeyen bir bilgisayar korsanlığı grubuna atanan addır. Grubun en az 2023’ün sonlarından beri aktif olduğu değerlendiriliyor.
Kırgızistan ve Özbekistan’ın benzer ilk erişim teknikleri kullanılarak hedeflenmesi, tehdit aktörünün Orta Asya’daki operasyonlarının genişlediğine işaret ediyor; silahlı bağlantılar veya ekler dağıtmak için kimlik avı e-postalarında öncelikle güvenilir hükümet bakanlıklarının kimliğine bürünüyor.
Saldırı zincirleri aşağı yukarı aynı yaklaşımı izliyor; mesaj alıcıları, Java Runtime’ı yükleme talimatlarıyla birlikte kötü amaçlı Java arşivi (JAR) yükleyici dosyalarını indiren bağlantılara tıklamaları için kandırılıyor.
E-posta, kurulumun belgeleri görüntülemek için gerekli olduğunu iddia etse de gerçekte yükleyiciyi çalıştırmak için kullanılıyor. Yükleyici başlatıldıktan sonra saldırganın kontrolü altındaki altyapıdan bir sonraki aşamadaki yükü (yani NetSupport RAT) almaya devam eder ve kalıcılığı üç şekilde ayarlar:
- Zamanlanmış bir görev oluşturma
- Windows Kayıt Defteri değeri ekleme
- Toplu komut dosyasını “%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup” klasörüne bırakma
Kampanyanın Özbekistan aşaması, coğrafi sınırlama kısıtlamalarının dahil edilmesi ve dolayısıyla ülke dışından gelen taleplerin meşru data.egov’a yönlendirilmesine neden olmasıyla dikkat çekiyor.[.]uz web sitesi. Özbekistan’dan gelen isteklerin JAR dosyasının PDF ekindeki gömülü bağlantıdan indirilmesini tetiklediği tespit edildi.
Group-IB, kampanyalarda gözlemlenen JAR yükleyicilerinin Mart 2014’te piyasaya sürülen Java 8 ile oluşturulduğunu söyledi. Saldırganların bu eserleri oluşturmak için özel bir JAR oluşturucu veya şablon kullandığına inanılıyor. NetSupport RAT yükü, NetSupport Manager’ın Ekim 2013 tarihli eski bir sürümüdür.
“Kanlı Kurt, düşük maliyetli, ticari olarak temin edilebilen araçların karmaşık, bölgesel hedefli siber operasyonlarda nasıl silah haline getirilebileceğini gösterdi” dedi. “Grup, devlet kurumlarına duyulan güvenden yararlanarak ve basit JAR tabanlı yükleyicilerden yararlanarak, Orta Asya tehdit ortamında güçlü bir yer edinmeye devam ediyor.”