Se cree que el grupo de actividades de amenazas conocido como SloppyLemming es el resultado de nuevos ataques dirigidos a agencias gubernamentales y operadores de infraestructura crítica en Pakistán y Bangladesh.
Según Arctic Wolf, esta actividad ocurrió entre enero de 2025 y enero de 2026. Esta actividad implica el uso de dos cadenas de ataque diferentes que entregan familias de malware rastreadas como registradores de teclas basados en BurrowShell y Rust.
«El uso del lenguaje de programación Rust representa una evolución significativa en las herramientas de SloppyLemming. Informes anteriores documentaron que los atacantes usaban solo lenguajes compilados tradicionales y tomaban prestados marcos de simulación adversarios como Cobalt Strike, Havoc y un NekroWire RAT personalizado», dijo la firma de ciberseguridad en un informe compartido con The Hacker News.
SloppyLemming es el apodo asignado a un actor de amenazas conocido por atacar a gobiernos, fuerzas del orden, empresas de energía, telecomunicaciones y tecnología en Pakistán, Sri Lanka, Bangladesh y China desde al menos 2022. También se le ha rastreado con los nombres Outrider Tiger y Fishing Elephant.
Campañas anteriores lanzadas por Hacking Team han utilizado familias de malware como Ares RAT y WarHawk, a menudo impulsados por SideCopy y SideWinder, respectivamente.
El análisis del último ataque de ArcticWolf revela que los correos electrónicos de phishing se utilizan para entregar señuelos PDF y documentos Excel habilitados para macros para iniciar cadenas de infección. Los atacantes se describieron a sí mismos como operando a capacidad media.
El señuelo PDF contiene una URL diseñada para dirigir a la víctima a un manifiesto de aplicación ClickOnce, que implementa un ejecutable legítimo de tiempo de ejecución de Microsoft .NET (‘NGenTask.exe’) y un cargador malicioso (‘mscorsvc.dll’). El cargador se inicia mediante la descarga de DLL para descifrar y ejecutar un implante de código shell x64 personalizado con nombre en código BurrowShell.
«BurrowShell es una puerta trasera con todas las funciones que proporciona a los actores de amenazas manipulación del sistema de archivos, capacidades de captura de capturas de pantalla, ejecución remota de shell y funcionalidad de proxy SOCKS para túneles de red», dijo Arctic Wolf. «El implante disfraza el tráfico de comando y control (C2) como comunicaciones del servicio Windows Update y emplea cifrado RC4 con una clave de 32 caracteres para proteger la carga útil».
La segunda cadena de ataque utiliza un documento de Excel que contiene macros maliciosas para eliminar malware registrador de pulsaciones de teclas y al mismo tiempo incorpora la capacidad de realizar escaneo de puertos y enumeración de redes.
Una investigación más exhaustiva sobre la infraestructura del actor de amenazas identificó 112 dominios de trabajadores de Cloudflare registrados durante el año pasado, un aumento de 8 veces con respecto a los 13 dominios informados por Cloudflare en septiembre de 2024.
La relación de esta campaña con SloppyLemming se basa en patrones de typosquatting con temas gubernamentales, implementación del marco Havoc C2, técnicas de descarga de DLL y explotación continua de la infraestructura de Cloudflare Workers mediante patrones de victimización.
Cabe destacar que varios aspectos de la metodología del actor de amenazas, incluido el uso de la ejecución habilitada para ClickOnce, se superponen con la reciente campaña SideWinder documentada por Trellix en octubre de 2025.
«Específicamente, apuntar a la agencia reguladora nuclear, la organización de logística de defensa y la infraestructura de telecomunicaciones de Pakistán, junto con las empresas de energía e instituciones financieras de Bangladesh, es consistente con las prioridades de recopilación de inteligencia consistentes con la competencia estratégica regional del sur de Asia», dijo Arctic Wolf.
«La implementación de carga útil dual (código shell en memoria BurrowShell para operaciones de proxy C2 y SOCKS, y un registrador de pulsaciones basado en Rust para el robo de información) sugiere que los atacantes mantienen flexibilidad para implementar herramientas apropiadas basadas en valores objetivos y requisitos operativos».
Source link
