Arctic Wolf hat eine Cyberspionage-Kampagne aufgedeckt, die mit moderater Sicherheit „SloppyLemming“ (auch bekannt als Outrider Tiger und Fishing-Elephant) zugeschrieben werden kann. Ziel waren im Zeitraum von Januar 2025 bis Januar 2026 staatliche Einrichtungen und kritische Infrastruktur in Pakistan und Bangladesch. Die Kampagne stellt eine Weiterentwicklung der Aktivitäten dar, die erstmals im September 2024 von Cloudflare Cloudforce-One dokumentiert wurden.
Obwohl sich die Kampagne gezielt gegen staatliche Stellen und Betreiber kritischer Infrastrukturen in Pakistan und Bangladesch richtet, sind die eingesetzten Angriffstechniken auch über die Region hinaus relevant. Insbesondere der Missbrauch legitimer Cloud-Infrastruktur (Cloudflare-Workers), das DLL-Sideloading signierter Microsoft-Binärdateien sowie der Einsatz von in Rust entwickelter Malware spiegeln Methoden wider, die auch von Sicherheitsteams in Europa beobachtet werden.
Zentrale Erkenntnisse der Cyberspionage-Kampagne:
· Fortführung und Ausweitung früherer Operationen: Die Kampagne knüpft direkt an zuvor beobachtete Aktivitäten von Sloppy-Lemming an, nutzt jedoch neue Werkzeuge, Infrastruktur und ein erweitertes Zielprofil.
· Mehrstufige Angriffsketten: Der Akteur verwendet Clickonce-Anwendungsmanifeste und makroversehene Office-Dokumente, um Schadcode über DLL-Search-Order-Hijacking auszuführen. Dabei werden legitime Microsoft-Binärdateien wie NGenTask.exe und phoneactivate.exe missbraucht.
· Einsatz von zwei maßgeschneiderten Implantaten:
o Burrowshell: Ein speicherresidentes x64-Shellcode-Implantat mit Command-and-Control-Kommunikation und Socks-Proxy-Funktionalität. Es unterstützt 15 verschiedene Befehle und ermöglicht unter anderem Dateisystemmanipulation, Screenshot-Erstellung, Shell-Befehlsausführung sowie laterale Netzwerkbewegungen über Socks-Tunnel.
o Rust-basierter Keylogger: Ein Implantat mit erweiterten Datendiebstahl-Funktionen, darunter Remote-Command-Execution, Dateioperationen und Netzwerkaufklärung.
· Missbrauch von Cloudflare Workers: Die Kampagne nutzt 112 eindeutige Cloudflare-Workers-Domains, die sich als staatliche Einrichtungen in Pakistan und Bangladesch ausgeben – sowohl zur Auslieferung der Schadsoftware als auch für die C2-Kommunikation.
· Operative Sicherheitsfehler (OPSEC): Mehrere C2-Domains waren als offene Verzeichnisse konfiguriert, wodurch Malware-Komponenten – einschließlich Artefakten des Havoc-C2-Frameworks – öffentlich zugänglich waren und den Forschern Einblicke in die Infrastruktur ermöglichten.
· Betroffene Sektoren: Regierungsbehörden, Verteidigungsorganisationen (u. a. Pakistan Navy, National Logistics Corp), Energieversorger (DESCO, PGCB), Telekommunikationsanbieter (SCO, PTCL) sowie nukleare Aufsichtsbehörden (PNRA) in Pakistan und Bangladesch.
Info: Weitere Details zum Thema finden sich hier im Arctic-Wolf-Blogpost: https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/
