Die indische APT-Gruppe ‘Sloppy Lemming’ intensiviert ihre Cyber-Angriffe auf Kernkraftanlagen, Rüstungsunternehmen und kritische Infrastruktur in Süd- und Südostasien. Die Gruppe hat ihre Fähigkeiten deutlich erhöht und nutzt nun eigene Rust-basierte Malware sowie Cloudflare-Services für ihre Command-and-Control-Infrastruktur.
Die indische Advanced-Persistent-Threat-Gruppe ‘Sloppy Lemming’ verstärkt ihre Anschläge massiv: Im Laufe des vergangenen Jahres hat die Hackergruppe ihre Operationen gegen nukleares Regelwerk, Verteidigungsbetriebe sowie kritische Infrastruktur in Pakistan, Bangladesch und anderen Ländern Süd- und Südostasiens erheblich eskaliert.
Besonders bemerkenswert ist die Weiterentwicklung der Gruppe: Sie hat sich von handelsüblichen Red-Teaming-Tools wie Cobalt Strike und Havoc C2 verabschiedet und entwickelt mittlerweile eigene, in der Programmiersprache Rust geschriebene Malware. Gleichzeitig hat die Gruppe ihre Command-and-Control-Infrastruktur, die auf Cloudflares serverlosen Workers-Service basiert, von 13 auf mindestens 112 Domänen ausgebaut, wie das Sicherheitsunternehmen Arctic Fox berichtet.
“Vor Jahren sahen wir in der Region nur einige Nationalstaats-Gruppen, etwas Cyberkriminalität und vielleicht einige Hacktivisten”, erklärt Ismael Valenzuela, Vice President of Threat Intelligence Research bei Arctic Wolf. “Heute beobachten wir deutlich mehr Gruppen, mehr Aktivität und immer mehr regionalisierte Cyber-Spionage-Kampagnen.”
Die Eskalation fällt in eine Phase erhöhter geopolitischer Spannungen: Im März behauptete Pakistans Präsident Asif Ali Zardari, Indien bereite Militäraktionen vor. Im Februar führte Pakistan nach Bombenangriffen auf eine Moschee und einen Sicherheitsposten Operationen in Afghanistan durch. Auch Indien führte im Mai 2025 Luftangriffe in Pakistan durch.
Im Gegensatz zu chinesischen oder russischen Hackergruppen, die häufig Zero-Day-Exploits einsetzen, verlassen sich die indischen Cyber-Spione stark auf Phishing und Credential-Diebstahl. Sloppy Lemming nutzt dabei zwei Angriffsvektoren: PDF-Köder zur Umleitung von Opfern und Makro-fähige Excel-Dokumente zur Verbreitung von Rust-basiertem Keylogging-Malware.
Experten von Proofpoint identifizieren fünf mit Indien verbundene Gruppen, darunter TA397 (auch “Bitter” genannt), die Überschneidungen mit Sloppy Lemming aufweist. Die Gruppen TA399 und TA395 (alias Sidewinder und Frantic Tiger) teilen sich Köder-Themen und kompromittierte Konten und greifen teilweise dieselben Individuen an. “Dieses Muster deutet auf gemeinsame Ressourcen und/oder koordinierte Einsätze zwischen indisch-ausgerichteten Clustern hin”, so Proofpoint-Forscher.
Kaspersky identifiziert jedoch auch eigenständige Gruppen wie Dropping Elephant und Mysterious Elephant, die keine Überschneidungen mit Sloppy Lemming aufweisen. Mysterious Elephant konzentriert sich auf diplomatische, militärische und Verteidigungseinrichtungen in Pakistan und Bangladesch, während Sloppy Lemming und Fishing Elephant eher Kernkraft-, Verteidigungs-, Logistik- und Telekommunikationsunternehmen ins Visier nehmen.
Während die technische Sophistikation steigt – etwa durch den Einsatz von Rust und Cloudflare-Infrastruktur – zeigen sich auch erhebliche operative Fehler: Sloppy Lemming betrieb einige C2-Server mit offenen Verzeichnissen, die Sicherheitsforscher leicht erkunden konnten. “Die operative Sicherheit dieser Gruppe ist nicht auf dem Niveau anderer Cyber-Spionage-Gruppen”, resümiert Valenzuela. “Sie bleiben einfach ‘Sloppy Lemming’.”
Quelle: Dark Reading