Nhóm hoạt động đe dọa được biết đến với tên gọi SloppyLemming đã bị quy kết thực hiện một loạt cuộc tấn công mới nhắm vào các cơ quan chính phủ và nhà điều hành cơ sở hạ tầng trọng yếu ở Pakistan và Bangladesh.
Theo Arctic Wolf, hoạt động này diễn ra từ tháng 1 năm 2025 đến tháng 1 năm 2026. Nó liên quan đến việc sử dụng hai chuỗi tấn công riêng biệt để phát tán các họ mã độc được theo dõi là BurrowShell và một keylogger dựa trên Rust.
"Việc sử dụng ngôn ngữ lập trình Rust đại diện cho một sự phát triển đáng chú ý trong công cụ của SloppyLemming, vì các báo cáo trước đây đã ghi nhận đối tượng chỉ sử dụng các ngôn ngữ biên dịch truyền thống và các framework mô phỏng đối thủ như Cobalt Strike, Havoc, cùng với RAT NekroWire tùy chỉnh," công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News.
SloppyLemming là tên gọi được gán cho một nhóm tác nhân đe dọa nổi tiếng vì đã nhắm mục tiêu vào các cơ quan chính phủ, thực thi pháp luật, năng lượng, viễn thông và công nghệ ở Pakistan, Sri Lanka, Bangladesh và Trung Quốc kể từ ít nhất năm 2022. Nó cũng được theo dõi dưới các tên Outrider Tiger và Fishing Elephant.
Các chiến dịch trước đây do nhóm tin tặc này thực hiện đã sử dụng các họ mã độc như Ares RAT và WarHawk, vốn thường được gán cho SideCopy và SideWinder.
Phân tích của Arctic Wolf về các cuộc tấn công mới nhất đã phát hiện việc sử dụng email spear-phishing để phát tán các mồi nhử PDF và tài liệu Excel có bật macro nhằm khởi động chuỗi lây nhiễm. Họ mô tả tác nhân đe dọa này hoạt động với khả năng trung bình.
Các tệp PDF mồi nhử chứa các URL được thiết kế để dẫn nạn nhân đến các bản kê khai ứng dụng ClickOnce, sau đó triển khai một tệp thực thi Microsoft .NET runtime hợp pháp ("NGenTask.exe") và một trình tải độc hại ("mscorsvc.dll"). Trình tải được khởi chạy bằng kỹ thuật DLL side-loading để giải mã và thực thi một implant shellcode x64 tùy chỉnh có tên mã BurrowShell.
"BurrowShell là một backdoor đầy đủ tính năng, cung cấp cho tác nhân đe dọa khả năng thao tác hệ thống tệp, chụp ảnh màn hình, thực thi shell từ xa và khả năng proxy SOCKS để tạo đường hầm mạng," Arctic Wolf cho biết. "Implant này ngụy trang lưu lượng C2 của nó thành các giao tiếp của dịch vụ Windows Update và sử dụng mã hóa RC4 với khóa 32 ký tự để bảo vệ payload."
Chuỗi tấn công thứ hai sử dụng tài liệu Excel chứa macro độc hại để thả mã độc keylogger, đồng thời tích hợp các tính năng để thực hiện port scanning và network enumeration.
Điều tra sâu hơn về cơ sở hạ tầng của tác nhân đe dọa đã xác định 112 tên miền Cloudflare Workers được đăng ký trong khoảng thời gian một năm, đánh dấu mức tăng gấp tám lần so với 13 tên miền được Cloudflare gắn cờ vào tháng 9 năm 2024.
Các liên kết của chiến dịch đến SloppyLemming dựa trên việc tiếp tục khai thác cơ sở hạ tầng Cloudflare Workers với các mẫu typo-squatting theo chủ đề chính phủ, triển khai framework Havoc C2, kỹ thuật DLL side-loading và các mẫu nạn nhân học.
Điều đáng chú ý là một số khía cạnh trong thủ đoạn của tác nhân đe dọa, bao gồm việc sử dụng thực thi kích hoạt ClickOnce, trùng lặp với một chiến dịch SideWinder gần đây được Trellix ghi nhận vào tháng 10 năm 2025.
"Đặc biệt, việc nhắm mục tiêu vào các cơ quan quản lý hạt nhân, tổ chức hậu cần quốc phòng và cơ sở hạ tầng viễn thông của Pakistan – cùng với các tiện ích năng lượng và tổ chức tài chính của Bangladesh – phù hợp với các ưu tiên thu thập thông tin tình báo nhất quán với cạnh tranh chiến lược khu vực ở Nam Á," Arctic Wolf cho biết.
"Việc triển khai hai payload – shellcode BurrowShell trong bộ nhớ cho các hoạt động C2 và SOCKS proxy, cùng với một keylogger dựa trên Rust để đánh cắp thông tin – cho thấy tác nhân đe dọa duy trì sự linh hoạt để triển khai các công cụ phù hợp dựa trên giá trị mục tiêu và yêu cầu hoạt động."
