文章总结： 中亚APT组织’BloodyWolf’利用钓鱼邮件伪装政府机构发送案件材料，诱导受害者安装Java并下载恶意JAR文件，使用地理围栏技术只针对目标国家用户释放恶意软件。该组织使用2014年Java8和2013年NetSupportManager等老旧工具规避检测，通过启动文件夹、注册表和计划任务建立持久性。防御建议包括验证政府邮件真实性、删除陌生JAR文件、检查系统启动位置、为远程工具设置白名单。 综合评分： 85 文章分类： 威胁情报,红队,恶意软件,社会工程学,内网渗透

司法部发的 “案件材料” 藏毒！中亚APT组织 “血狼”（Bloody Wolf）用 10 年前旧软件偷机密，还会 “地理隐身”

原创

紫队

AI紫队安全研究

2025年12月14日 12:00 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    “您有一份紧急案件材料待查看，需安装 Java 才能打开 —— 吉尔吉斯斯坦司法部”。当政府机构的邮件带着 PDF 附件送达时，金融机构职员和公职人员几乎不会犹豫。但他们不知道，这封 “官方邮件” 正是黑客组织 “血狼”（Bloody Wolf）设下的陷阱，点击链接的瞬间，电脑就成了被远程操控的 “提款机” 和 “情报站”。

Group-IB 最新曝光的攻击细节令人咋舌：这伙活跃 3 年的黑客，用 10 年前的旧软件当武器，靠 “伪装政府公文” 在中亚多国横行，甚至能精准识别受害者位置，境外研究者连毒文件都下不到！作为追更 APT 攻击的 “老猎手”，必须扒透这伙人的 “复古式作案套路”—— 你的收件箱里可能就有类似诱饵。

黑客档案：Bloody Wolf，专挑 “政府信任” 下手的 “区域猎手”

先给这伙黑客画个像：他们不是追求轰动效应的 “网红黑客”，而是专啃硬骨头的 “职业猎手”，特点堪称 “精准又低调”：

活跃轨迹：2023 年底出道就盯着哈萨克斯坦、俄罗斯，2025 年 6 月杀进吉尔吉斯斯坦，10 月又拿下乌兹别克斯坦，目标直指金融、政府、IT 三大核心领域；

身份成谜：虽未确认归属国家，但每次攻击都自带 “本地化 Buff”—— 用目标国语言写诱饵，甚至吉尔吉斯斯坦司法部的徽章都仿得一模一样，俄语更是默认 “工作语言”；

武器偏好：早年用商业恶意软件 STRRAT，后来干脆 “洗白” 武器，改用企业常用的 NetSupport 远程管理工具当窃密神器，混在正常 IT 流量里根本查不出来。

最绝的是他们的 “隐蔽术”：明明在搞高级间谍活动，却偏爱用老旧工具，堪称黑客界的 “复古玩家”。

全程还原：从 “收公文” 到被监控，4 步掉进 “复古陷阱”

Bloody Wolf 的攻击链没有炫酷技术，却把 “骗术” 玩到了极致。Group-IB 研究员拆解的全过程，像极了精心设计的 “职场骗局”：

Step 1：邮件敲门，PDF 伪装 “司法部传票”

攻击始于一封鱼叉式钓鱼邮件，主题往往是 “案件调查通知”“法律文书送达”，附件是名为 “case_materials.pdf” 的文件 —— 打开后，页眉印着政府徽章，正文用当地语言写着 “需查看机密案件材料，请点击下方链接”，落款直接冒用 “司法部办公厅”。

更狠的是，邮件正文还 “贴心” 提醒：“若无法打开，请先安装 Java 运行环境”—— 这正是黑客的 “关键一步”，把恶意程序包装成 “查看文档的必需品”。

Step 2：点链接瞬间，地理围栏 “筛选” 受害者

如果你在乌兹别克斯坦境内点击链接，会直接下载一个恶意 JAR 文件；但要是境外的安全研究员尝试下载，会被自动跳转到合法的政府网站 data.egov.uz。

这就是 Bloody Wolf 的 “地理隐身术”—— 通过 IP 定位实现地理围栏，只对目标国境内用户释放毒文件，既降低被发现的风险，又让攻击更具迷惑性。相当于小偷只在目标小区作案，门外的警察根本抓不到现行。

Step 3：JAR 文件 “演戏”，3 次失败假象掩盖偷装监控

下载的 JAR 文件是用 2014 年发布的 Java 8 构建的 “古董级恶意程序”，体积小还不加密，却藏着心机：

运行后先弹出虚假错误框，比如 “文件损坏（错误代码 0x12）”“Java 版本不兼容”，让你以为操作失败；

暗地里却在后台下载 2013 年版的 NetSupport Manager—— 这是个合法的远程管理工具，企业 IT 部门常用它修电脑，杀毒软件见了都 “放行”；

为了防止被反复运行暴露，还自带 “3 次启动限制”，失败 3 次就自动停止，完美扮演 “损坏的文档”。

你以为在反复尝试打开文件，其实监控程序已经悄悄装好了。

Step 4：三重 “锁死” 电脑，黑客成 “隐形 IT 管理员”

NetSupport RAT 装好后，Bloody Wolf 会用三种方法把自己 “焊” 在电脑里，想删都删不掉：

启动文件夹藏批处理脚本：在C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里丢个.bat 文件，电脑一开机就自动运行监控程序；

注册表加 “后门”：用命令reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run添加启动项，伪装成 “系统更新服务”；

创建计划任务：通过schtasks命令建个 “登录就启动” 的任务，就算前两种方法被删，这个还能兜底。

接下来，黑客就能像公司 IT 一样远程操控你的电脑：看屏幕、偷文件、拷贝金融数据，甚至顺着内网摸到服务器，而你连一丝异常都察觉不到。

迷惑性拉满：这 3 个 “反常识” 操作，让黑客藏得更深

Bloody Wolf 能横行中亚，靠的不是技术多先进，而是把 “反常识” 玩得炉火纯青：

1. 用 “合法软件” 当武器，比恶意程序更难防

NetSupport Manager 本身是教育、政府、医疗行业的常用工具，能远程修电脑、查设备，完全符合企业 IT 需求。黑客用 2013 年的旧版本，既容易从网上找到，又因为 “太老旧” 被很多安全软件列入 “信任名单”—— 相当于拿着保安的合法证件进小区偷东西，门卫根本不拦。

2. 故意用 “不加密的老旧代码”，躲过深度检测

现在的黑客都爱用复杂加密掩盖恶意代码，Bloody Wolf 却反其道而行：JAR 文件不混淆，代码简单到只有 4 个核心函数（创建临时文件、显示错误、检查启动次数、执行恶意操作），甚至createTempFiles函数还是个 “摆设”，只打印调试信息却不干活。

这种 “裸奔式代码” 反而让安全软件的 “深度分析” 失效 —— 谁会相信这么简单的文件是病毒？

3. 借 “Java 刚需” 打掩护，利用用户 “知识盲区”

虽然 Java 8 是 10 多年前的旧版本，但很多政府系统和老旧软件仍依赖它运行。黑客正是抓住这一点，把 “安装 Java” 包装成 “查看公文的必要步骤”，精准戳中公职人员 “不敢拒绝官方要求” 的心理，哪怕觉得麻烦也会照做。

保命指南：3 招识破 “政府公文骗局”，比装杀毒软件管用

Bloody Wolf 的套路再阴，也藏不住 3 个致命破绽。不管是企业员工还是个人用户，记住这几点就能避开坑：

1. 政府文件从不会 “让你装软件”，更不会用 HTTP 链接

正规政府机构发送的电子公文，要么是加密 PDF（无需额外装软件），要么通过官方政务平台推送，绝不会让你从外部链接下载 Java；

收到 “政府邮件” 先查两点：发件人是否在官方通讯录里？附件链接是 HTTPS 加密的吗？Bloody Wolf 的恶意链接全是 HTTP 的 “裸奔链接”，一查一个准。

2. 遇到 JAR 文件直接删，这 3 个位置重点查

JAR 文件本质是 Java 程序包，普通用户几乎用不到，收到陌生 JAR 直接删除，别信 “打开文档必需” 的鬼话；

定期检查这三个地方，发现可疑文件立即杀毒：

启动文件夹：C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

注册表启动项：Win+R 输入regedit，找HKCU\Software\Microsoft\Windows\CurrentVersion\Run

计划任务：Win+R 输入taskschd.msc，查 “登录时执行” 的未知任务

3. 给 “合法远程工具” 上 “紧箍咒”

企业 IT 部门要给 NetSupport、TeamViewer 等工具建 “白名单”，只有授权设备能运行，发现未经批准的旧版本立即卸载；

个人用户遇到 “远程协助” 请求，哪怕对方说自己是 “IT 人员”，也要当面核实身份，绝不在陌生引导下安装软件。

最后提醒：黑客最爱 “利用信任”，较真一点就能防住

Bloody Wolf 的成功，本质是利用了 “对政府机构的天然信任” 和 “对技术细节的疏忽”。他们不用 0day 漏洞，不搞复杂攻击，却能偷走金融机密、政府数据，靠的就是 “把简单骗术做到极致”。

对普通人来说，最有效的防御不是买昂贵的安全软件，而是多问一个 “为什么”：政府公文为什么要装旧版 Java？链接为什么不是官方域名？只要打破 “官方 = 安全” 的固有思维，就能让黑客的 “复古骗局” 无处遁形。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

查看原文：《司法部发的 “案件材料” 藏毒！中亚APT组织 “血狼”（Bloody Wolf）用 10 年前旧软件偷机密，还会 “地理隐身”》