Frühere Kampagnen der Gruppe setzten Arctic Wolf zufolge auf Schadprogramme wie Ares RAT und WarHawk, die häufig SideCopy beziehungsweise SideWinder zugeschrieben werden. Bei den jüngsten Angriffen identifizierte das Unternehmen Spear-Phishing-E-Mails, die als PDF getarnte Köderdokumente sowie Excel-Dateien mit aktivierten Makros verteilen, um die Infektionsketten anzustoßen.

Die PDF-Köder enthalten URLs, die Opfer zu ClickOnce-Anwendungsmanifesten leiten. Diese installieren eine legitime ausführbare Datei der Microsoft-.NET-Laufzeitumgebung (“NGenTask.exe”) sowie einen bösartigen Loader (“mscorsvc.dll”). Der Loader wird per DLL-Sideloading gestartet und entschlüsselt und führt einen maßgeschneiderten x64-Shellcode-Implantat mit dem Codenamen BurrowShell aus.

Laut Arctic Wolf handelt es sich bei BurrowShell um eine voll ausgestattete Backdoor, die Dateisystemmanipulation, das Erstellen von Bildschirmfotos, die Ausführung von Befehlen über eine entfernte Shell sowie SOCKS-Proxy-Funktionen zum Tunneln von Netzwerkverkehr ermöglicht. Das Implantat tarnt seinen Command-and-Control-Verkehr als Kommunikation des Windows-Update-Dienstes und schützt seine Nutzdaten mit RC4-Verschlüsselung und einem 32-stelligen Schlüssel.

Die zweite Angriffskette nutzt Excel-Dokumente mit bösartigen Makros, um den Keylogger einzuschleusen. Dieser bringt zusätzlich Funktionen zum Port-Scanning und zur Netzwerkauskundschaftung mit.

Bei der Untersuchung der Infrastruktur stieß Arctic Wolf auf 112 im Verlauf des Jahres registrierte Cloudflare-Workers-Domains – eine Verachtfachung gegenüber den 13 Domains, die Cloudflare im September 2024 gemeldet hatte. Die Zuordnung zu SloppyLemming stützt sich auf die fortgesetzte Nutzung von Cloudflare-Workers-Infrastruktur mit regierungsbezogenen Typosquatting-Mustern, den Einsatz des Havoc-C2-Frameworks, die DLL-Sideloading-Techniken sowie die Opfermuster.

Einige Vorgehensweisen der Gruppe, darunter die Ausführung über ClickOnce, überschneiden sich mit einer SideWinder-Kampagne, die Trellix im Oktober 2025 dokumentierte. Das Anvisieren pakistanischer Atomaufsichtsbehörden, Organisationen der Verteidigungslogistik und Telekommunikationsinfrastruktur sowie bangladeschischer Energieversorger und Finanzinstitute decke sich nach Einschätzung von Arctic Wolf mit Prioritäten der Informationsbeschaffung, wie sie zum strategischen Wettbewerb in der Region Südasien passten.

Der Einsatz zweier Nutzdaten – des speicherresidenten Shellcodes BurrowShell für C2- und SOCKS-Proxy-Operationen sowie des Rust-Keyloggers zum Abgreifen von Informationen – deute darauf hin, dass die Gruppe je nach Wert des Ziels und operativen Anforderungen flexibel das passende Werkzeug wählen könne.