文章总结： BloodyWolf威胁组织利用NetSupportRAT针对乌兹别克斯坦和俄罗斯等中亚地区发起钓鱼攻击，目标涵盖金融、制造、政府等60余个机构。攻击通过恶意PDF附件传播加载程序，建立持久化机制并下载远控木马。卡巴斯基发现该组织基础设施还存在Mirai僵尸网络载荷，表明其可能扩展至IoT设备攻击。 综合评分： 78 文章分类： 威胁情报,恶意软件,钓鱼攻击,IoT安全,漏洞分析

Bloody Wolf 利用 NetSupport RAT 攻击乌兹别克斯坦和俄罗斯

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月10日 09:19 湖北

导读

名为Bloody Wolf 的威胁组织与一项针对乌兹别克斯坦和俄罗斯的活动有关，该活动旨在利用名为NetSupport RAT的远程访问木马感染系统。

卡巴斯基正在追踪名为“Stan Ghouls”的黑客组织活动。据悉，该黑客组织至少从2023年起就十分活跃，对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和IT行业发起鱼叉式网络钓鱼攻击。

据估计，在乌兹别克斯坦、俄罗斯、哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了程度较轻的感染案例。此外，政府机构、物流公司、医疗机构和教育机构的设备也遭到了攻击。

卡巴斯基指出：“鉴于Stan Ghouls的目标是金融机构，我们认为他们的主要动机是获取经济利益。不过，他们大量使用远程访问木马（RAT）也可能暗示着网络间谍活动。”

此次攻击者滥用合法的远程管理工具 NetSupport，与此前使用 STRRAT（又名 Strigoi Master）的攻击手法有所不同。2025 年 11 月，Group-IB记录了针对吉尔吉斯斯坦境内实体的网络钓鱼攻击，旨在传播该工具。

攻击链相当简单明了：利用包含恶意PDF附件的网络钓鱼邮件作为跳板来触发感染。

这些PDF文档中嵌入了链接，点击这些链接会下载一个恶意加载程序，该程序会执行多种任务：

• 显示虚假错误信息，使受害者误以为该应用程序无法在其计算机上运行。
• 检查之前的 RAT 安装尝试次数是否少于三次。如果次数达到或超过限制，加载程序将抛出错误消息：“已达到尝试次数限制。请尝试使用其他计算机。”
• 从几个外部域名之一下载 NetSupport RAT 并启动。
• 确保 NetSupport RAT 的持久性，在启动文件夹中配置自动运行脚本，将 NetSupport  启动脚本（“run.bat”）添加到注册表的自动运行项，并创建一个计划任务来触发执行同一批处理脚本。

卡巴斯基表示，他们还在与 Bloody Wolf 相关的基础设施上发现了Mirai 僵尸网络有效载荷，这表明该威胁组织可能已经扩大了其恶意软件库，以攻击物联网设备。

卡巴斯基称，此次攻击目标超过60个，对于一场精心策划的定向攻击活动来说，这是一个惊人的数字。这表明这些攻击者愿意为他们的行动投入大量资源。

技术报告：

《Stan Ghouls 使用 NetSupport RAT 攻击俄罗斯和乌兹别克斯坦》

Stan Ghouls targeting Russia and Uzbekistan with NetSupport RAT

新闻链接：

https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《Bloody Wolf 利用 NetSupport RAT 攻击乌兹别克斯坦和俄罗斯》