El actor de amenazas conocido como Bloody Wolf ha llevado a cabo una campaña de spear-phishing dirigida principalmente a organizaciones en Uzbekistán y Rusia, con el objetivo de comprometer sistemas mediante la instalación del troyano de acceso remoto NetSupport RAT.
Actor de Amenaza y Contexto
Nombre del actor: Bloody Wolf (Stan Ghouls).
Actividad observada: Desde 2023.
Sectores afectados: Finanzas, Gobierno, TI, Logística, Sanidad, Educación.
Vectores de Acceso Inicial
- Correos de spear-phishing.
- PDF falsos.
- Descarga de archivos JAR.
- Instalación de Java Runtime.
Ejecución y Persistencia
- Descarga de NetSupport.
- Tareas programadas.
- Modificación del registro.
- Scripts de arranque.
Malware y Herramientas
- NetSupport RAT.
- Cargadores JAR personalizados.
NetSupport RAT
NetSupport RAT es una herramienta de acceso remoto basada en el software legítimo NetSupport Manager, originalmente diseñada para soporte técnico y administración remota de equipos. Sin embargo, cuando es utilizada sin autorización, se convierte en un Remote Access Trojan (RAT).
Cargadores JAR Personalizados
Los cargadores JAR personalizados son archivos ejecutables en formato Java Archive (JAR) diseñados específicamente por actores maliciosos para iniciar cadenas de infección.
En el contexto de campañas como Bloody Wolf, estos cargadores cumplen la función de loader o instalador inicial del malware.
Riesgos
- Compromiso de sistemas.
- Robo de datos.
- Expansión regional.
Recomendaciones de Mitigación
- Actualizar el paquete vulnerable
- Restringir exposición del servidor Metro
- Monitorear tráfico de red
Soluciones y mitigaciones con tecnologías Sophos
Sophos Intercept X – Seguridad avanzada del endpoint
Intercept X protege equipos de usuario y servidores ante actividades posteriores a la obtención de credenciales.
Tecnologías integradas:
- Deep Learning para detección de amenazas desconocidas.
- Prevención de exploits y ataques sin archivos.
- Aislamiento automático de dispositivos comprometidos.
- Reversión de cambios maliciosos en el sistema.
Sophos XDR – Detección y respuesta extendida
Sophos XDR permite correlacionar eventos de seguridad provenientes de múltiples capas.
Beneficios clave:
- Visibilidad centralizada de ataques complejos.
- Análisis de comportamiento y correlación avanzada.
- Automatización de respuestas ante incidentes.
- Investigación profunda de campañas persistentes.
Sophos MDR – Detección y respuesta gestionada
Sophos MDR ofrece monitoreo continuo con analistas especializados.
Servicios incluidos:
- Threat hunting proactivo.
- Respuesta inmediata a incidentes.
- Contención remota de amenazas.
- Apoyo experto para mitigación y análisis forense.
Sophos Central – Gestión centralizada de seguridad
Sophos Central consolida la administración de todas las soluciones.
Funciones principales:
- Panel único de alertas y eventos.
- Gestión unificada de políticas.
- Reportes ejecutivos y técnicos.
- Visibilidad completa del estado de seguridad.
Sophos Firewall para bloqueo de amenazas
Funciones principales:
- Inspección profunda de tráfico cifrado (TLS Inspection)
- IPS (Intrusion Prevention System) de nueva generación
- Protección contra Command and Control (C2)
- Web Protection y control de descargas
- Application Control
- Protección DNS
