Хакерская группировка SloppyLemming провела годовую кампанию против правительственных структур и критической инфраструктуры Пакистана и Бангладеш. Атаки продолжались с января 2024 по январь 2025 года — киберпреступники использовали два независимых канала заражения для доставки нового арсенала.
Arctic Wolf зафиксировала появление двух новых семейств вредоносов: бэкдора BurrowShell и кейлоггера на языке Rust. Переход на Rust — эволюция группировки, которая ранее полагалась на традиционные языки программирования и готовые фреймворки вроде Cobalt Strike.
Кто такие SloppyLemming
SloppyLemming (также Outrider Tiger, Fishing Elephant) специализируется на атаках госсектора с 2022 года. В фокусе — правительства, правоохранительные органы, энергетика и телеком в Пакистане, Шри-Ланке, Бангладеш и Китае.
Предыдущие кампании группировки строились на Ares RAT и WarHawk — инструментах, связанных с группировками SideCopy и SideWinder соответственно.
Схема атак: PDF-приманки и Rust-кейлоггеры
Первая цепь заражения стартует с фишинговых писем с PDF-файлами. Документы содержат URL, ведущие к ClickOnce-манифестам приложений. Манифест загружает легитимный исполняемый файл Microsoft .NET (NGenTask.exe) и вредоносный загрузчик (mscorsvc.dll).
Загрузчик через DLL side-loading запускает BurrowShell — полнофункциональный бэкдор с возможностями:
- Манипуляции файловой системой
- Снятие скриншотов
- Удаленное выполнение команд
- SOCKS-прокси для сетевого туннелирования
BurrowShell маскирует C2-трафик под обновления Windows и использует RC4-шифрование с 32-символьным ключом.
Вторая цепь атак использует Excel-документы с макросами для доставки Rust-кейлоггера. Помимо перехвата нажатий клавиш, инструмент сканирует порты и проводит разведку сети.
Инфраструктурный рост
За год атак SloppyLemming зарегистрировали 112 доменов на Cloudflare Workers — рост в 8 раз с 13 доменов в сентябре 2024 года. Домены используют тайпосквоттинг правительственной тематики.
Arctic Wolf связывает кампанию со SloppyLemming по характерным признакам: эксплуатация Cloudflare Workers, использование Havoc C2, техники DLL side-loading и паттерны жертв.
Целями стали пакистанские регуляторы ядерной энергии, оборонная логистика, телекоммуникации, а также энергетические компании и финансовые институты Бангладеш — выбор соответствует приоритетам разведки в региональной конкуренции Южной Азии.
Практический вывод: Двойная полезная нагрузка показывает гибкость группировки — BurrowShell для долгосрочного контроля, Rust-кейлоггер для кражи данных в зависимости от ценности цели.
Эксперты ожидают дальнейшую эволюцию инструментария SloppyLemming и расширение географии атак в регионе.
