Die Hackergruppe SloppyLemming hat zwischen Januar 2025 und Januar 2026 Regierungsbehörden und kritische Infrastruktur in Pakistan und Bangladesch angegriffen. Die Angreifer nutzen zwei unterschiedliche Malware-Ketten mit den Schadsoftwaren BurrowShell und einem in Rust geschriebenen Keylogger.
Die Bedrohungsgruppe SloppyLemming, auch als Outrider Tiger und Fishing Elephant bekannt, hat eine neue Angriffswelle gegen Regierungseinrichtungen und Infrastrukturbetreiber in Pakistan und Bangladesch durchgeführt. Dies geht aus einer Analyse des Sicherheitsunternehmens Arctic Wolf hervor.
Die Attacken fanden zwischen Januar 2025 und Januar 2026 statt und zeichnen sich durch zwei eigenständige Angriffsszenarien aus, die die Malware-Familien BurrowShell und einen Keylogger auf Basis der Programmiersprache Rust einsetzen. Die Verwendung von Rust markiert eine bemerkenswerte Entwicklung in der Werkzeugpalette von SloppyLemming – der Akteur arbeitete zuvor mit konventionellen kompilierten Sprachen und nutzte Frameworks wie Cobalt Strike, Havoc und das individuelle RAT-Programm NekroWire.
Arctic Wolf zufolge starten die Angriffe mit gezielten Phishing-E-Mails, die PDF-Köder und Makro-aktivierte Excel-Dateien verbreiten. Die präparierten PDFs enthalten URLs zu ClickOnce-Anwendungsmanifesten, über die ein legitimer Microsoft-.NET-Runtime-Prozess (“NGenTask.exe”) und ein böswilliger Loader (“mscorsvc.dll”) installiert werden. Mittels DLL-Side-Loading wird anschließend der maßgeschneiderte Shellcode-Implant BurrowShell aktiviert.
BurrowShell fungiert als vollwertiger Backdoor mit Funktionen zur Dateisystemmanipulation, Screenshot-Erfassung, Remote-Shell-Ausführung und SOCKS-Proxy-Operationen für Netzwerk-Tunneling. Der Implant verbirgt seinen Command-and-Control-Verkehr als Windows-Update-Kommunikation und nutzt RC4-Verschlüsselung mit 32-stelligen Schlüsseln.
Das zweite Angriffsszenario setzt auf Excel-Dateien mit schädlichen Makros zur Verteilung des Keyloggers, der zusätzlich Port-Scanning und Netzwerk-Enumeration beherrscht.
Die Analyse der Infrastruktur offenbarte 112 über Cloudflare Workers registrierte Domains während des Jahres – ein achtfacher Anstieg gegenüber den 13 Domains, die Cloudflare im September 2024 identifizierte. SloppyLemming ist seit mindestens 2022 für Angriffe auf Regierungen, Sicherheitsbehörden, Energie-, Telekommunikations- und Technologieunternehmen in Pakistan, Sri Lanka, Bangladesch und China bekannt.
Die Ziele – pakistanische Nuklearregulatoren, Verteidigungslogistik-Organisationen, Telekommunikationsinfrastruktur sowie bangladeschische Energieversorger und Finanzinstitutionen – deuten auf Informationsbeschaffung im Kontext regionaler geopolitischer Rivalitäten in Südasien hin. Die Kombination aus In-Memory-Shellcode für Command-and-Control-Operationen und einem Rust-basierten Keylogger zur Datenabschöpfung demonstriert eine flexible Werkzeugstrategie, die je nach Zielwert und operativen Anforderungen angepasst wird.
Quelle: The Hacker News