El grupo de actividad de amenazas conocido como descuidadolemming se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales y operadores de infraestructuras críticas en Pakistán y Bangladesh.
La actividad, según Arctic Wolf, tuvo lugar entre enero de 2025 y enero de 2026. Implica el uso de dos cadenas de ataque distintas para entregar familias de malware rastreadas como BurrowShell y un keylogger basado en Rust.
«El uso del lenguaje de programación Rust representa una evolución notable en las herramientas de SloppyLemming, ya que informes anteriores documentaron que el actor utiliza sólo lenguajes compilados tradicionales y marcos de simulación de adversarios prestados como Cobalt Strike, Havoc y el NekroWire RAT personalizado», la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News.
SloppyLemming es el apodo asignado a un actor de amenazas que se sabe que apunta a entidades gubernamentales, policiales, energéticas, de telecomunicaciones y tecnológicas en Pakistán, Sri Lanka, Bangladesh y China desde al menos 2022. También se rastrea con los nombres Tigre escolta y Pescando Elefante.
Campañas anteriores montadas por el equipo de hackers han aprovechado familias de malware como Ares RAT y WarHawk, que a menudo se atribuyen a SideCopy y SideWinder, respectivamente.
El análisis de ArcticWolf de los últimos ataques ha descubierto el uso de correos electrónicos de phishing para entregar señuelos PDF y documentos Excel habilitados para macros para iniciar las cadenas de infección. Describió al actor de amenazas como operando con capacidad moderada.
Los señuelos PDF contienen URL diseñadas para llevar a las víctimas a los manifiestos de la aplicación ClickOnce, que luego implementan un ejecutable legítimo de Microsoft .NET («NGenTask.exe») y un cargador malicioso («mscorsvc.dll»). El cargador se inicia mediante la carga lateral de DLL para descifrar y ejecutar un implante de código shell x64 personalizado con nombre en código BurrowShell.
«BurrowShell es una puerta trasera con todas las funciones que proporciona al actor de amenazas manipulación del sistema de archivos, capacidades de captura de capturas de pantalla, ejecución remota de shell y capacidades de proxy SOCKS para túneles de red», dijo Arctic Wolf. «El implante disfraza su tráfico de comando y control (C2) como comunicaciones del servicio Windows Update y emplea encriptación RC4 con una clave de 32 caracteres para proteger la carga útil».
La segunda cadena de ataque emplea documentos de Excel que contienen macros maliciosas para eliminar el malware keylogger, al tiempo que incorpora funciones para realizar escaneo de puertos y enumeración de redes.
Una investigación más exhaustiva de la infraestructura del actor de amenazas ha identificado 112 dominios de Cloudflare Workers registrados durante el período de un año, lo que supone un aumento de ocho veces con respecto a los 13 dominios marcados por Cloudflare en septiembre de 2024.
Los vínculos de la campaña con SloppyLemming se basan en la explotación continua de la infraestructura de Cloudflare Workers con patrones de erratas tipográficas con temas gubernamentales, implementación del marco Havoc C2, técnicas de carga lateral de DLL y patrones de victimología.
Vale la pena señalar que algunos aspectos del oficio del actor de amenazas, incluido el uso de la ejecución habilitada para ClickOnce, se superponen con una campaña reciente de SideWinder documentada por Trellix en octubre de 2025.
«En particular, atacar a los organismos reguladores nucleares, las organizaciones de logística de defensa y la infraestructura de telecomunicaciones de Pakistán, junto con las empresas de energía e instituciones financieras de Bangladesh, se alinea con las prioridades de recopilación de inteligencia consistentes con la competencia estratégica regional en el sur de Asia», dijo Arctic Wolf.
«La implementación de cargas útiles duales (el código shell en memoria BurrowShell para operaciones de proxy C2 y SOCKS, y un registrador de teclas basado en Rust para el robo de información) sugiere que el actor de amenazas mantiene la flexibilidad para implementar herramientas apropiadas basadas en el valor objetivo y los requisitos operativos».
