El actor de amenazas conocido como Lobo sangriento se ha vinculado a una campaña dirigida a Uzbekistán y Rusia para infectar sistemas con un troyano de acceso remoto conocido como NetSupport RAT .
El proveedor de ciberseguridad Kaspersky está rastreando la actividad bajo el nombre Stan Ghouls . Se sabe que el actor de amenazas está activo al menos desde 2023, orquestando ataques de spear-phising contra los sectores manufacturero, financiero y de TI en Rusia, Kirguistán, Kazajstán y Uzbekistán.
Se estima que la campaña se cobró unas 50 víctimas en Uzbekistán, y que también se vieron afectados 10 dispositivos en Rusia. Se han identificado otras infecciones en menor grado en Kazajstán, Turquía, Serbia y Bielorrusia. También se han registrado intentos de infección en dispositivos de organizaciones gubernamentales, empresas de logística, centros médicos e instituciones educativas.
«Teniendo en cuenta los ataques de Stan Ghouls contra las instituciones financieras, creemos que su motivo principal es el beneficio económico», señaló Kaspersky. «Dicho esto, el uso intensivo que hacen de las RAT también puede dar indicios de ciberespionaje».
adsenseEl uso indebido de NetSupport, una herramienta legítima de administración remota, es un punto de partida para el actor de amenazas, que anteriormente utilizaba STRRAT (también conocido como Strigoi Master) en sus ataques. En noviembre de 2025, Group-IB documentadas ataques de suplantación de identidad dirigidos a entidades de Kirguistán para distribuir la herramienta.
Las cadenas de ataque son bastante sencillas, ya que los correos electrónicos de suplantación de identidad cargados con archivos PDF maliciosos se utilizan como plataforma de lanzamiento para desencadenar la infección. Los documentos PDF incorporan enlaces que, al hacer clic en ellos, conducen a la descarga de un cargador malintencionado que se encarga de múltiples tareas -
- Muestre un mensaje de error falso para dar a la víctima la impresión de que la aplicación no puede ejecutarse en su máquina.
- Compruebe si el número de intentos anteriores de instalación de RAT es inferior a tres. Si el número ha alcanzado o superado el límite, el cargador emite un mensaje de error: «Se ha alcanzado el límite de intentos. Prueba con otro ordenador».
- Descargue la RAT de NetSupport desde uno de los varios dominios externos y ejecútela.
- Garantice la persistencia de NetSupport RAT configurando un script de ejecución automática en la carpeta de inicio, agregando un script de inicio de NetSupport (» run.bat «) a la clave de ejecución automática del Registro y creando una tarea programada para activar la ejecución del mismo script por lotes.
Kaspersky dijo que también identificó Cargas útiles de la botnet Mirai lanzado en una infraestructura asociada a Bloody Wolf, lo que aumenta la posibilidad de que el actor de la amenaza haya ampliado su arsenal de malware para atacar dispositivos de IoT.
«Con más de 60 objetivos alcanzados, se trata de un volumen notablemente alto para una campaña segmentada sofisticada», concluyó la empresa. «Esto pone de manifiesto los importantes recursos que estos actores están dispuestos a invertir en sus operaciones».
La divulgación coincide con una serie de campañas cibernéticas dirigidas a organizaciones rusas, incluidas las realizadas por Ex Cobalto , que ha aprovechado las fallas de seguridad conocidas y las credenciales robadas a los contratistas para obtener el acceso inicial a las redes objetivo. Tecnologías positivas descrito el adversario como uno de los «grupos más peligrosos» que atacan a las entidades rusas.
Los ataques se caracterizan por el uso de varias herramientas, junto con los intentos de desviar las credenciales de Telegram y el historial de mensajes de los servidores comprometidos y las credenciales de Outlook Web Access mediante inyectar código malicioso en la página de inicio de sesión -
- COB Int , una puerta trasera conocida utilizada por el grupo.
- Casilleros como Babuk y LockBit.
- KIT DE PUMA , un rootkit de núcleo para aumentar los privilegios, ocultar archivos y directorios y ocultarse de las herramientas del sistema, junto con las versiones anteriores conocidas como Facefish (febrero de 2021), Kitsune (febrero de 2022) y Megatsune (noviembre de 2023). El uso de Kitsune también estaba vinculado a un grupo de amenazas conocido como Lobo furtivo (también conocido como Sneaking Leprechaun) de BI.ZONE.
- Octopus, un conjunto de herramientas basado en Rust que se utiliza para aumentar los privilegios en un sistema Linux comprometido.
«El grupo cambió las tácticas del acceso inicial y pasó de centrarse en la explotación de las vulnerabilidades de un día en los servicios corporativos disponibles en Internet (por ejemplo, Microsoft Exchange) a la penetración de la infraestructura del objetivo principal a través de contratistas», afirma Positive Technologies.
enlacesLas instituciones estatales, las empresas científicas y las organizaciones de TI de Rusia también han sido atacadas por un actor de amenazas previamente desconocido conocido como Búho castigador que ha recurrido al robo y la filtración de datos en la web oscura. El grupo, sospechoso de ser una entidad hacktivista con motivaciones políticas, ha estado activo desde diciembre de 2025 y una de sus cuentas de redes sociales está gestionada desde Kazajstán.
Los ataques utilizan correos electrónicos de suplantación de identidad con un archivo ZIP protegido con contraseña que, al abrirse, contiene un acceso directo de Windows (LNK) disfrazado de documento PDF. Al abrir el archivo LNK, se ejecuta un comando de PowerShell para descargar un ladrón llamado ZipWhisper desde un servidor remoto para recopilar datos confidenciales y subirlos al mismo servidor.
Otro grupo de amenazas que ha centrado su atención en Rusia y Bielorrusia es Hombre lobo Vortex . El objetivo final de los ataques es implementar Tor y OpenSSH para facilitar el acceso remoto persistente. Cyble y Seqrite Labs denunciaron previamente la campaña en noviembre de 2025, y esta última la denominó campaña Operación SkyCloak .
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS