脅威アクター「Bloody Wolf」による新たな攻撃キャンペーン

脅威アクター「Bloody Wolf」が、NetSupport RAT（リモートアクセス型トロイの木馬）を悪用した新たなキャンペーンでウズベキスタンとロシアを標的にしていることが判明しました。サイバーセキュリティベンダーKasperskyは、この活動を「Stan Ghouls」と呼称し、少なくとも2023年以降活動していることを報告しています。

Bloody Wolfはこれまで、ロシア、キルギスタン、カザフスタン、ウズベキスタンの製造業、金融、IT分野に対し、スピアフィッシング攻撃を展開してきました。今回のキャンペーンでは、ウズベキスタンで約50件、ロシアで10件のデバイスが影響を受けたと推定されており、カザフスタン、トルコ、セルビア、ベラルーシでも感染が確認されています。標的は政府機関、物流企業、医療施設、教育機関など多岐にわたります。

攻撃の動機と手法：NetSupport RATの悪用

Kasperskyは、Stan Ghoulsの主な動機を金銭的利益と見ていますが、RATの多用からサイバースパイ活動の可能性も指摘しています。

以前Bloody WolfはSTRRAT（Strigoi Masterとしても知られる）を悪用していましたが、今回は正規のリモート管理ツールであるNetSupportの悪用へとシフトしました。攻撃は比較的単純な手法で開始されます。具体的には、悪意のあるPDF添付ファイルを含むフィッシングメールが使用され、これらのPDFドキュメントには、クリックすると悪意のあるローダーをダウンロードするリンクが埋め込まれています。このローダーは、以下の複数のタスクを実行します。

• アプリケーションが動作しないかのような偽のエラーメッセージを表示し、被害者を欺きます。
• 過去のRATインストール試行回数をチェックし、3回以上の場合には「Attempt limit reached. Try another computer.」というエラーメッセージを表示します。
• 外部ドメインからNetSupport RATをダウンロードし、起動します。
• スタートアップフォルダ、レジストリの自動実行キー、スケジュールタスクを利用して、NetSupport RATの永続化メカニズムを確立します。

拡大する脅威の範囲と他の脅威アクターの動向

Kasperskyは、Bloody Wolfに関連するインフラストラクチャ上でMiraiボットネットのペイロードも確認しており、脅威アクターがIoTデバイスも標的にする可能性を示唆しています。同社は「60以上の標的に対する攻撃は、高度に標的化されたキャンペーンとしては非常に高いボリュームであり、これらのアクターが作戦に投入する多大なリソースを示している」と結論付けています。

本件の発表と同時に、ロシアの組織を標的とする他のサイバーキャンペーンも複数報告されています。

• ExCobalt: 既知の脆弱性や契約者から盗んだ認証情報を利用して初期アクセスを確立します。Positive Technologiesは、このグループをロシアの組織を攻撃する「最も危険なグループの一つ」と評しています。
• Punishing Owl: 2025年12月以降活動しており、政治的動機を持つハクティビストグループと疑われています。フィッシングメールを通じてパスワード保護されたZIPアーカイブを送りつけ、内部のLNKファイルを実行させることで、リモートサーバーから「ZipWhisper」と呼ばれる情報窃取型マルウェアをダウンロードさせます。
• Vortex Werewolf: ロシアとベラルーシを標的とし、TorとOpenSSHを展開して永続的なリモートアクセスを確立します。このキャンペーンは、2025年11月にCybleとSeqrite Labsによって「Operation SkyCloak」として既に報告されています。

元記事: https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html