Cyber Security UP

SloppyLemming colpisce Pakistan e Bangladesh: BurrowShell si traveste da Windows Update e buca infrastrutture critiche

Nel panorama delle minacce informatiche in Asia meridionale, il gruppo SloppyLemming è stato collegato a una nuova ondata di attacchi mirati contro enti governativi e operatori di infrastrutture critiche in Pakistan e Bangladesh. Le attività osservate tra gennaio 2025 e gennaio 2026 mostrano un salto di qualità nelle tecniche di intrusione e nella catena di distribuzione del malware, con due filoni distinti pensati per ottenere accesso remoto e sottrarre informazioni sensibili.

Primo vettore: spear phishing, ClickOnce e DLL side loading

Il primo vettore si basa su email di spear phishing che includono esche in PDF. All’interno dei documenti sono presenti link che conducono a manifesti ClickOnce, usati per avviare una sequenza di installazione apparentemente legittima. Viene scaricato un eseguibile Microsoft .NET runtime, insieme a un file DLL malevolo che funge da loader. Grazie alla tecnica di DLL side loading, il loader viene eseguito agganciandosi al processo legittimo, quindi decritta ed esegue in memoria uno shellcode x64 che installa BurrowShell, una backdoor completa.

Capacità di BurrowShell

Manipolazione del file system
Cattura di screenshot
Esecuzione di comandi tramite shell remota
Creazione di un proxy SOCKS per il tunneling di rete

Un aspetto rilevante è il mascheramento del traffico di comando e controllo come comunicazioni del servizio Windows Update, con cifratura RC4 e una chiave di 32 caratteri per proteggere i payload e ridurre la rilevabilità.

Seconda catena: macro Excel e keylogger in Rust

La seconda catena di infezione utilizza documenti Excel con macro malevole. In questo scenario viene rilasciato un keylogger sviluppato in Rust, segnale di evoluzione degli strumenti rispetto a campagne precedenti basate su linguaggi compilati più tradizionali. Oltre alla registrazione dei tasti, il malware integra capacità di port scanning e ricognizione della rete, utili per mappare l’ambiente e ampliare la compromissione.

Infrastruttura: crescita di domini su Cloudflare Workers

Sul fronte infrastrutturale è stata evidenziata una crescita significativa nell’uso di domini basati su Cloudflare Workers, con 112 domini registrati nello stesso periodo, spesso legati a schemi di typosquatting a tema governativo. Questo aumento suggerisce una maggiore scalabilità operativa e una ricerca di resilienza contro i blocchi, rendendo la difesa più complessa per le organizzazioni colpite.

cyber , Malware spear phishing , SloppyLemming , threatintelligence , Cloudflare Workers , #malwareanalysis , BurrowShell