Hack Alerta

Bloody Wolf usa NetSupport RAT em campanha dirigida

Por Redação Hack Alerta Publicado em 10/02/2026 05:02 Riscos e Ameaças Tempo de leitura: 2 min

O grupo criminal Bloody Wolf (Stan Ghouls) lançou uma campanha direcionada usando spear‑phishing e um loader Java que instala o NetSupport RAT. A ação foca setores como manufatura, finanças e TI em Rússia e Uzbequistão; o malware usa janelas de erro falsas e três mecanismos de persistência (Startup, Run e tarefa agendada). Defensores devem monitorar ferramentas remotas e execuções vindas da pasta Startup.

Pesquisadores identificaram uma onda de ataques direcionados atribuídos ao grupo conhecido como Bloody Wolf (Stan Ghouls), que está usando o NetSupport Manager para obter acesso remoto em organizações.

Vetor de intrusão e técnica

Segundo reportagem do Cyber Security News, a cadeia de ataque começa com spear‑phishing altamente direcionado, em idiomas locais (ex.: uzbeque), usando PDFs com links que levam ao download de um loader Java personalizado. Esse loader atua como ponte e busca componentes finais do NetSupport RAT em servidores remotos.

Persistência e evasão

Os analistas observaram que o loader exibe uma janela de erro falsa para distrair a vítima; por trás disso, ele faz verificações de ambiente, instala o payload e evita sandboxes (terminando se falhar três tentativas). A persistência é estabelecida por três vetores redundantes:

  • um script em %APPDATA%\Startup\SoliqUZ_Run.bat;
  • inserção de comando no Run do Registro do Windows;
  • uma tarefa agendada.

Alvo e alcance

A campanha tem foco em setores como manufatura, finanças e TI e afetou organizações na Rússia e no Uzbequistão; os pesquisadores listaram cerca de sessenta vítimas distintas na última onda. O uso de uma ferramenta legítima de administração remota (NetSupport) facilita que o tráfego dos atacantes se misture a operações administrativas autorizadas, dificultando a detecção.

Observações operacionais

“Para mitigar estas ameaças, organizações devem monitorar por ferramentas remotas não autorizadas e escrutinar execuções de processos a partir da pasta Startup.” — relatório citado pelo veículo

Impacto para defensores

  • Monitorar inventário de ferramentas de administração remota e correlacionar com processos e conexões externas.
  • Inspecionar tarefas agendadas, chaves Run do Registro e arquivos colocados na pasta Startup.
  • Investigar comunicações iniciais via PDF/link e empregar sandboxing e inspeção de URLs para reduzir risco de loaders Java maliciosos.

Resumo: a alteração tática — usar software legítimo como vetor de permanência — reforça a necessidade de controles de telemetria e de defesa focados em comportamentos anômalos e não apenas em assinaturas de malware.

Baseado em publicação original de Cyber Security News
Tags: #netsupport #rat #spear-phishing #persistence #bloody-wolf #stan-ghouls #targeted #manufacturing #finance
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar