Sloppy Lemming nutzt nach Angaben von Arctic Wolf zwei Angriffsketten: Die eine leitet Opfer über ein präpariertes PDF auf einen Angriff um, die andere setzt makrofähige Excel-Dokumente ein, um einen in Rust geschriebenen Keylogger zu verteilen. Die Gruppe wird von anderen Sicherheitsforschern auch mit den Bezeichnungen Outrider Tiger und Fishing Elephant in Verbindung gebracht.
Valenzuela ordnet die Entwicklung in einen größeren regionalen Trend ein: Früher habe man nur einzelne staatliche, kriminelle und hacktivistische Gruppen gesehen, heute beobachte man mehr Akteure, mehr Aktivität und stärker regionalisierte Spionagekampagnen. Der Bericht fällt in eine Phase erhöhter Spannungen in Südasien.
Mehrere mit Sloppy Lemming verbundene Gruppen scheinen im Auftrag Indiens zu handeln. Der Anbieter Proofpoint verfolgt fünf bekannte Indien-nahe Gruppen, darunter TA397 – von den Forschern auch Bitter genannt –, die sich teilweise mit Sloppy Lemming überschneidet. Zwei weitere, TA399 und TA395 (auch Sidewinder beziehungsweise Frantic Tiger), teilen sich Köderthemen und kompromittierte Konten und nehmen mitunter dieselben Personen ins Visier. Dieses Muster deute laut Proofpoint auf geteilte Ressourcen oder koordinierte Aufgabenverteilung zwischen Indien-nahen Clustern hin, auch wenn die Teams getrennt sein könnten – etwa verschiedene Teams einer Geheimdienstorganisation, unterschiedliche Auftragnehmer desselben staatlichen Kunden oder schlicht eine Wiederverwendung von Ressourcen.
Nicht alle Akteure überschneiden sich. Kaspersky verfolgt mehrere Indien-nahe Gruppen, darunter Fishing Elephant, das auch Arctic Wolf mit Sloppy Lemming verknüpft. Zwei andere, Dropping Elephant und Mysterious Elephant, weisen laut Noushin Shabab vom Global Research and Analysis Team (GReAT) von Kaspersky keine Überschneidung mit Sloppy Lemming auf. Es handle sich um eigenständige Einheiten mit jeweils eigenen Zielen und Schwerpunkten, die getrennt verfolgt werden sollten. Mysterious Elephant greift Kaspersky zufolge vor allem diplomatische, militärische und Verteidigungseinrichtungen in Pakistan und Bangladesch an, während sich Sloppy Lemming und Fishing Elephant laut Arctic Wolf auf Anbieter aus den Bereichen Nuklear, Verteidigung, Logistik und Telekommunikation konzentrieren.
Auch andere prominente Akteure der Region nutzten laut Shabab inzwischen Rust und weitere Sprachen, die das Reverse Engineering erschweren. Ebenso nehme der Einsatz von Cloudflare Workers, Pages und geschützten Domains zur Verschleierung von C2-Servern unter indischen APT-Gruppen zu. Der Wechsel zu serverloser und edge-gehosteter Infrastruktur erlaube es Angreifern, Anonymität und Skalierbarkeit von Cloud-Diensten zu nutzen, Schadcode dynamisch auszuliefern und klassische Sicherheitskontrollen zu umgehen.
Trotz dieser zunehmenden Raffinesse leistet sich die Gruppe laut Valenzuela auffällige Fehler. Der Einsatz von Excel-Makros deute darauf hin, dass Organisationen mit schwacher Sicherheitshygiene oder mit Raubkopien angegriffen würden. Zudem betrieb die Gruppe einen Teil ihrer C2-Infrastruktur mit offenen Verzeichnissen, wodurch Forscher Zugriff erhielten. Die operative Sicherheit der Akteure liege nicht auf dem Niveau anderer Spionagegruppen, so Valenzuela – “sie bleiben eben Sloppy Lemming”.
