Расширение кампании SloppyLemming: новые инструменты и масштабная инфраструктура для шпионажа в Южной Азии

Злоумышленники использовали две независимые цепочки атаки, инициируемые через целенаправленную рассылку фишинговых писем. Первый вектор начинался с PDF-документов, содержащих вредоносные ссылки. При переходе по ссылке жертва перенаправлялась на манифесты приложений ClickOnce, которые развертывали пакет для подмены динамических библиотек. Пакет состоял из легитимного исполняемого файла Microsoft .NET (NGenTask.exe) и вредоносного загрузчика (mscorsvc.dll). Этот загрузчик, в свою очередь, расшифровывал и исполнял кастомный имплант на базе шелл-кода x64, получивший от исследователей название BurrowShell. Данный бэкдор предоставляет злоумышленникам широкий спектр возможностей, включая манипуляции с файловой системой, захват скриншотов, выполнение удаленных команд и организацию туннелей SOCKS для проксирования сетевого трафика. Имплант маскирует свой трафик командного центра под обновления Windows и использует для защиты полезной нагрузки шифрование RC4.

Второй вектор атаки использовал Excel-документы с макросами для доставки кейлоггера, написанного на Rust, с расширенными функциями разведки, такими как сканирование портов и перечисление сетевых ресурсов. Применение Rust знаменует собой заметную эволюцию в инструментарии SloppyLemming, поскольку ранее группа использовала лишь традиционные компилируемые языки и заимствованные фреймворки вроде Cobalt Strike, Havoc и кастомного трояна NekroWire. Анализ инфраструктуры выявил 112 доменов Cloudflare Workers, зарегистрированных в указанный период, что представляет собой восьмикратное расширение по сравнению с ранее известными данными. При этом три из этих Workers были сконфигурированы как открытые директории, что позволило исследователям получить доступ к размещенным вредоносным компонентам, включая загрузчики фреймворка Havoc. Пик регистрации инфраструктуры пришелся на июль 2025 года, когда было создано 42 новых домена, что указывает на интенсификацию операционной деятельности.

С точки зрения технического исполнения обе цепочки атаки в конечном итоге используют один и тот же метод для выполнения кода - подмену DLL через манипуляцию порядком поиска библиотек. Злоумышленники размещают подписанные легитимные исполняемые файлы Microsoft (NGenTask.exe и phoneactivate.exe) рядом со своими вредоносными DLL, которые автоматически загружаются в контекст доверенного процесса. Этот прием позволяет обойти некоторые средства защиты, полагающиеся на репутацию процессов. Имплант BurrowShell реализует дополнительные механизмы скрытности, такие как динамическое разрешение API-функций Windows во время выполнения через хеширование их имен, что затрудняет статический анализ.

География и сектор целей кампании четко указывают на мотивы государственного шпионажа в контексте регионального соперничества. В Пакистане целью становились органы ядерного регулирования, логистические службы обороны, телекоммуникационные компании и правительственные учреждения. В Бангладеш атакам подверглись энергетические компании и финансовые институты. Все домены инфраструктуры были тщательно подобраны для имитации официальных ресурсов этих организаций, используя опечатки в названиях. Arctic Wolf оценивает атрибуцию кампании группе SloppyLemming с умеренной уверенностью, основываясь на совпадении тактик, техник и процедур, инструментария, паттернов инфраструктуры и жертв с ранее задокументированной активностью этой группы.

Несмотря на относительно высокие технические возможности, группа допустила заметные провалы в операционной безопасности. Наиболее значимым из них стала конфигурация части их серверов как открытых директорий, что позволило исследователям беспрепятственно изучить эталонные образцы вредоносного ПО. Этот факт подтверждает исторически сложившуюся репутацию группы как не всегда аккуратной в соблюдении мер скрытности, что отражено в её названии - «Неряшливый лемминг». Тем не менее, устойчивое развитие инфраструктуры на протяжении года и внедрение новых инструментов говорят о серьёзных ресурсах и долгосрочных целях.

Для противодействия подобным угрозам организациям, особенно в регионах-мишенях, рекомендуется ужесточить политики безопасности электронной почты, блокируя документы со встроенными ссылками на подозрительные домены. Ключевое значение имеет контроль за выполнением макросов в Office-документах из внешних источников и блокировка загрузки приложений ClickOnce из ненадежных расположений. На сетевом уровне необходим мониторинг и блокировка соединений с доменами, использующими шаблоны, имитирующие государственные ресурсы. На конечных точках следует внедрить детектирование аномальной активности, связанной с подменой DLL, когда легитимные системные процессы запускаются из нестандартных каталогов, а также отслеживать попытки установки автозапуска через реестр. Регулярное обучение сотрудников распознаванию фишинга остаётся важной составляющей защиты. Как отмечают специалисты, пиковая активность по регистрации доменов в июле 2025 года указывает на подготовку к интенсивной фазе операций отчёт Arctic Wol.

Domains

• api.desco-gov-bd.workers.dev
• info.bangladesh-islamic-baank.workers.dev
• www.gov-pk.workers.dev

SHA256

• 1946315d645d9a8c5114759b350ec4f85dba5f9ee4a63d74437d7a068bff7752
• 1f79f88e97e60bc431ab641ccbbfb09e9d2633d258d3d4bc8b0cb5b9adbc9a4a
• 3269829b50da5b3c4120a103ef72b09a8bbbf258ab3086ca24b2aa24dc00039b
• 3dbf64da37616acbe16bc6bd06a320fed416c4c8ec37a04f811a32389af3d46c
• 4f1628821c13cc27fd4134301cc93a1ad32b2a3f7066c3d90f7ba89e02180754
• 67c341e187ddfcd5a4a7df8743ae82e72db1e5c3747d5c4e185d99f54182f093
• 6ea8fd10725676c886692d3acda9782e044c9f3988276360c87559dcaf1a3123
• 7a34070f98bd129764f053d8003b402975f73e85da87eebdfcc718ac7c8bb0bb
• 7e16fc7603e450b28f06e55748ef65204f8685b0f75e963da997192fdec5f96e
• 81d1a62c00724c1dfbc05a79ac4ae921c459350a2a4a93366c0842fadc40b011
• 87822f0b579c6c123c72971ee524a2d977ba4f02027f32d57a533d8f123183c3
• 8cc46f6ef1b659fa463b7eb343b4ca033de89c313af2e68e2cc7ce08eaff88de
• 8faeea306a331d86ce1acb92c8028b4322efbd11a971379ba81a6b769ff5ac4b
• 9dca24630c06463a01ca6d38b73987589bbe68650b0ff893770eab9ff6ec581a
• 9fd133b11abcbbed33ccea71bd4743e8f35e42cd637fb763f5ab2a8fbb9b6261
• bb83cd7ebe75cf62f06859ab2166a35a16cac924f874109b78dd5c4b653d6d44
• c4cea4147719c3abe7eb6c7c7e3420480361773b602d4270af0a607d29f8771f
• c57baa17321257ea1915ba0336a89f63975e6ed612a89c9888be7067222bef38
• c603e7a1018f7b3a168404bcf2f709950c4e29e0596c78823647baaadaf317c7
• d071ea65ea30df38623afe959ccc142f14dc4659dce21c2d7195e31245ee2df1