El clúster de actividad de amenazas conocido como Lemming descuidado se ha atribuido a una nueva serie de ataques contra entidades gubernamentales y operadores de infraestructuras críticas en Pakistán y Bangladesh.

La actividad, según Arctic Wolf, tuvo lugar entre enero de 2025 y enero de 2026. Implica el uso de dos cadenas de ataque distintas para enviar familias de malware rastreadas, como BurrowShell y un keylogger basado en Rust.

«El uso del lenguaje de programación Rust representa una evolución notable en las herramientas de SloppyLemming, ya que informes anteriores documentaron que el actor utilizó solo lenguajes compilados tradicionales y tomó prestados marcos de simulación de adversarios, como Cobalt Strike, Havoc y el NekroWire RAT personalizado», la empresa de ciberseguridad dijo en un informe compartido con The Hacker News.

adsense

Lemming descuidado es el apodo asignado a un actor de amenazas que se sabe que ataca a entidades gubernamentales, policiales, de energía, telecomunicaciones y tecnología en Pakistán, Sri Lanka, Bangladesh y China desde al menos 2022. También se rastrea con los nombres Outrider Tiger y Fishing Elephant.

Las campañas anteriores organizadas por el equipo de piratas informáticos se basaban en familias de malware como Ares RAT y WarHawk, que a menudo se atribuyen a SideCopy y SideWinder, respectivamente.

El análisis de ArcticWolf sobre los ataques más recientes ha descubierto el uso de correos electrónicos de suplantación de identidad para enviar señuelos en PDF y documentos de Excel con macros a fin de poner en marcha las cadenas de infección. Describió al autor de la amenaza diciendo que operaba con una capacidad moderada.

Los señuelos PDF contienen URL diseñadas para llevar a las víctimas a los manifiestos de la aplicación ClickOnce, que luego despliegan un ejecutable legítimo de Microsoft .NET en tiempo de ejecución (» NGenTask.exe «) y un cargador malintencionado (» mscorsvc.dll «). El cargador se ejecuta mediante la carga lateral de DLL para descifrar y ejecutar un implante personalizado de código shell de 64 bits con el nombre en código BurrowShell.

«BurrowShell es una puerta trasera con todas las funciones que proporciona al actor de amenazas la manipulación del sistema de archivos, capacidades de captura de pantalla, ejecución remota de shell y funciones de proxy SOCKS para la construcción de túneles de red», afirma Arctic Wolf. «El implante disfraza su tráfico de comando y control (C2) con el nombre de comunicaciones del servicio Windows Update y emplea el cifrado RC4 con una clave de 32 caracteres para proteger la carga útil».

La segunda cadena de ataque emplea documentos de Excel que contienen macros maliciosas para eliminar el malware del keylogger, al tiempo que incorpora funciones para realizar el escaneo de puertos y la enumeración de redes.

Una investigación más profunda de la infraestructura del actor de amenazas ha identificado 112 dominios de Cloudflare Workers registrados durante el período de un año, lo que representa un salto de ocho veces con respecto a los 13 dominios marcados por Cloudflare en septiembre de 2024.

enlaces

Los vínculos de la campaña con SloppyLemming se basan en la explotación continua de la infraestructura de los trabajadores de Cloudflare con patrones de ocupación tipográfica con temática gubernamental, el despliegue del Havoc C2 marco, técnicas de carga lateral de DLL y patrones de victimología.

Vale la pena señalar que algunos aspectos del oficio del actor de amenazas, incluido el uso de la ejecución habilitada para ClickOnce, se superponen con un Campaña SideWinder documentado por Trellix en octubre de 2025.

«En particular, los ataques contra los organismos reguladores nucleares, las organizaciones logísticas de defensa y la infraestructura de telecomunicaciones de Pakistán, junto con las empresas de energía y las instituciones financieras de Bangladesh, se alinean con las prioridades de recopilación de información de inteligencia consistentes con la competencia estratégica regional en el sur de Asia», dijo Arctic Wolf.

«La implementación de dos cargas útiles (el código de shell BurrowShell en memoria para las operaciones de proxy C2 y SOCKS, y un registrador de pulsaciones basado en Rust para el robo de información) sugiere que el actor de amenazas mantiene la flexibilidad para implementar las herramientas adecuadas en función del valor objetivo y los requisitos operativos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.