El actor de amenazas Bloody Wolf ha sido vinculado a una campaña de spear-phishing dirigida a Uzbekistán y Rusia, con el objetivo de infectar sistemas con el troyano de acceso remoto NetSupport RAT. La firma de ciberseguridad Kaspersky monitorea esta actividad bajo el nombre de Stan Ghouls. Este actor ha estado operando desde al menos 2023, atacando principalmente a los sectores manufacturero, financiero y tecnológico en Rusia, Kirguistán, Kazajistán y Uzbekistán.
La campaña habría afectado a unas 50 víctimas en Uzbekistán y 10 dispositivos en Rusia, con un menor número de infecciones en Kazajistán, Turquía, Serbia y Bielorrusia. También se detectaron intentos de infección en organismos gubernamentales, empresas de logística, centros médicos e instituciones educativas. Según Kaspersky, 'dado que Stan Ghouls apunta a instituciones financieras, creemos que su principal motivación es el beneficio económico. Sin embargo, el uso intensivo de RATs también podría indicar ciberespionaje'.
El uso indebido de NetSupport, una herramienta legítima de administración remota, representa un cambio en las tácticas del actor, que anteriormente empleaba STRRAT (también conocido como Strigoi Master). En noviembre de 2025, Group-IB documentó ataques de phishing dirigidos a entidades en Kirguistán para distribuir esta herramienta. Las cadenas de ataque son sencillas: utilizan correos electrónicos de phishing con archivos PDF maliciosos adjuntos que contienen enlaces. Al hacer clic en ellos, se descarga un cargador malicioso que realiza varias tareas.
- Muestra un mensaje de error falso para simular que la aplicación no puede ejecutarse.
- Verifica si el número de intentos previos de instalación del RAT es menor a tres; si se alcanza o supera el límite, muestra el mensaje 'Límite de intentos alcanzado. Pruebe con otro equipo'.
- Descarga el NetSupport RAT desde uno de varios dominios externos y lo ejecuta.
- Garantiza la persistencia del RAT configurando un script de ejecución automática en la carpeta de inicio, agregando un script de lanzamiento ('run.bat') a la clave de ejecución automática del Registro y creando una tarea programada para ejecutar el mismo script por lotes.
Kaspersky también identificó cargas útiles del botnet Mirai alojadas en infraestructura asociada a Bloody Wolf, lo que sugiere que el actor podría haber ampliado su arsenal de malware para atacar dispositivos IoT. 'Con más de 60 objetivos alcanzados, este es un volumen notablemente alto para una campaña dirigida sofisticada', concluyó la compañía. 'Esto indica los importantes recursos que estos actores están dispuestos a invertir en sus operaciones'.
Esta revelación coincide con varias campañas cibernéticas dirigidas a organizaciones rusas, incluidas las llevadas a cabo por ExCobalt, que ha explotado fallos de seguridad conocidos y credenciales robadas de contratistas para obtener acceso inicial a las redes objetivo. Positive Technologies describió a este adversario como uno de los 'grupos más peligrosos' que atacan a entidades rusas. Los ataques se caracterizan por el uso de diversas herramientas, junto con intentos de robar credenciales de Telegram, el historial de mensajes de los equipos comprometidos y credenciales de Outlook Web Access mediante la inyección de código malicioso en la página de inicio de sesión.
- CobInt, un backdoor conocido utilizado por el grupo.
- Lockers como Babuk y LockBit.
- PUMAKIT, un rootkit a nivel de kernel para escalar privilegios, ocultar archivos y directorios, y ocultarse de herramientas del sistema, junto con iteraciones anteriores conocidas como Facefish (febrero de 2021), Kitsune (febrero de 2022) y Megatsune (noviembre de 2023). El uso de Kitsune también fue vinculado a un grupo de amenazas llamado Sneaky Wolf (también conocido como Sneaking Leprechaun) por BI.ZONE.
- Octopus, un kit de herramientas basado en Rust utilizado para escalar privilegios en sistemas Linux comprometidos.
'El grupo cambió las tácticas de acceso inicial, desplazando el foco de atención de la explotación de vulnerabilidades de un día en servicios corporativos disponibles desde internet (por ejemplo, Microsoft Exchange) a la penetración de la infraestructura del objetivo principal a través de contratistas', señaló Positive Technologies. Instituciones estatales, empresas científicas y organizaciones de TI en Rusia también han sido atacadas por un actor de amenazas previamente desconocido, denominado Punishing Owl, que se ha dedicado a robar y filtrar datos en la dark web. Se sospecha que este grupo es una entidad hacktivista motivada políticamente, activa desde diciembre de 2025, con una de sus cuentas de redes sociales administrada desde Kazajistán.
Los ataques utilizan correos de phishing con un archivo ZIP protegido por contraseña que, al abrirse, contiene un acceso directo de Windows (LNK) disfrazado como documento PDF. Abrir el archivo LNK ejecuta un comando de PowerShell para descargar un ladrón llamado ZipWhisper desde un servidor remoto, que recopila datos sensibles y los sube al mismo servidor. Otro grupo de amenazas que ha apuntado a Rusia y Bielorrusia es Vortex Werewolf. El objetivo final de los ataques es implementar Tor y OpenSSH para facilitar el acceso remoto persistente. La campaña fue expuesta previamente en noviembre de 2025 por Cyble y Seqrite Labs, y este último la denominó Operación SkyCloak.
