APT-группа SloppyLemming провела годовую кампанию против правительств Пакистана и Бангладеш. Хакеры использовали две параллельные цепочки атак для доставки новых вредоносов — бэкдора BurrowShell и кейлоггера на Rust.
Arctic Wolf зафиксировала активность с января 2025 по январь 2026 года. Переход на Rust — серьезная эволюция для SloppyLemming, которая раньше полагалась на готовые фреймворки Cobalt Strike и Havoc.
Кто такие SloppyLemming
SloppyLemming (Outrider Tiger, Fishing Elephant) — APT-группа, активная с 2022 года. Специализируется на атаках против госструктур, правоохранителей, энергетики и телекома в Пакистане, Шри-Ланке, Бангладеш и Китае.
Раньше использовали Ares RAT и WarHawk — малвари группировок SideCopy и SideWinder.
Схема атак: PDF и Excel как приманка
Атака начинается с целевого фишинга — PDF-приманки и Excel с макросами. PDF содержат URL-ссылки на манифесты ClickOnce-приложений.
После перехода загружается легитимный Microsoft .NET файл ("NGenTask.exe") и вредоносный загрузчик ("mscorsvc.dll"). Загрузчик через DLL side-loading расшифровывает BurrowShell — бэкдор с функциями манипуляции файлами, скриншотов, выполнения команд и SOCKS-прокси.
"BurrowShell маскирует трафик управления под коммуникации Windows Update и использует RC4-шифрование с 32-символьным ключом", — пишет Arctic Wolf.
Взрывной рост инфраструктуры
За год группа зарегистрировала 112 доменов Cloudflare Workers — в 8 раз больше 13 доменов, заблокированных Cloudflare в сентябре 2024-го.
Связь подтверждают характерные методы: Cloudflare Workers с тайпсквоттингом госсайтов, фреймворк Havoc C2, DLL side-loading и специфические цели.
Что делать ИБ-специалистам
SloppyLemming показывает растущую изощренность APT: Rust для обхода детекции, двойные полезные нагрузки, маскировка под системный трафик.
Организациям региона стоит усилить мониторинг ClickOnce-приложений, PDF с внешними ссылками и аномального трафика, имитирующего обновления Windows.
