BurrowShell backdoor
Az Arctic Wolf Labs elemzése szerint a SloppyLemming (Outrider Tiger, Fishing Elephant), Indiához köthető aktor hosszabb ideje futó kémkampányban újabb, rosszindulatú malware-láncot vetett be Pakisztán és Banglades kormányzati szervezetei és kritikus infrastruktúrái ellen.
A kampány, amelyet 2025 januárjától 2026 januárjáig követtek nyomon, spear-phishing e-maileken keresztül terjedt, PDF- és Excel-csalik (makrókkal) használva. Az első támadási lánc BurrowShell nevű, teljes funkcionalitású backdoort juttatott be,ami lehetővé teszi a fájlrendszer kezelését, képernyőkép-készítést, távoli parancsvégrehajtást és SOCKS proxy létrehozását, miközben a C2-forgalmat Windows Update-hez hasonló kommunikációként álcázza.
A második lánc Excel-makrók révén Rust nyelven írt keyloggert és RAT-ot telepít, amely nemcsak billentyűzet-naplózást, hanem port-szkennelést és hálózati feltérképezést is végez, ami azt jelzi, hogy a fenyegető a modern programozási nyelvek felé is elmozdult eszközkészletében.
A támadások több mint száz Cloudflare Workers domainek kerültek regisztrálásra, amelyek kormányzati tematika szerinti elnevezésekkel szolgálnak payload-értékesítésre és C2 kommunikációra.
Az áldozatok között kormányzati, védelmi, energia- és távközlési szervezetek szerepelnek Pakisztánban és Bangladesben, beleértve stratégiai fontosságú intézményeket is, ami arra utal, hogy a kampány hírszerzési gyűjtést céloz regionális stratégiai versengés közepette.
