文章总结： 印度APT组织SloppyLemming近期针对南亚关键基础设施发起大规模网络间谍活动。该组织技术能力显著进化，自主开发了BurrowShell后门与Rust键盘记录器，并滥用CloudflareWorkers构建C2设施。攻击利用DLL侧加载技术，目标涉及核能、国防等高价值部门。报告分析了其OPSEC失误，揭示了详细攻击链与归因证据，为防御提供了重要参考。 综合评分： 84 文章分类： 威胁情报,恶意软件,实战经验

印度APT组织SloppyLemming最新网络间谍活动剖析

原创

网空闲话 网空闲话

网空闲话plus

2026年3月5日 12:05 北京

01

概述

2026年3月，安全厂商Arctic Wolf Labs 发布重磅报告，披露印度背景的APT组织 SloppyLemming （又称Outrider Tiger 、 Fishing Elephant ）在2025年1月至 2026年1月期间，针对巴基斯坦和孟加拉国的政府、核能、国防、能源及电信等关键基础设施，发动了一场持续12个月的大规模网络间谍行动。

本次行动标志着该组织在攻击能力上的质的飞跃：从以往借用公开红队工具（Cobalt Strike 、 Havoc）进化为自主开发定制化恶意软件 ——包括内存执行的Shellcode后门 BurrowShell和Rust编写的键盘记录器；攻击链复杂度显著提升 ，采用PDF诱饵 +ClickOnce部署+DLL侧加载的多阶段执行链，有效规避传统安全检测；基础设施规模爆炸式扩张 ，利用Cloudflare Workers服务注册了112个模仿政府域名的C2节点，较 2024年公开披露的13个增长超过8倍；战术目标从政府机构升级至核监管机构、国防后勤、电力电网等高价值战略目标 ，直接服务于南亚地缘战略竞争。

尽管技术能力大幅提升，该组织在 operational security （OPSEC）方面仍显“草率”：三个C2服务器因配置错误成为开放目录，内部文件结构、 Havoc框架组件及加密密钥被安全团队直接获取，为归因和防御提供了宝贵情报。

Arctic Wolf Labs以中等置信度将此次行动归因于SloppyLemming ，依据包括TTP高度重叠、工具链延续性（Havoc框架的使用）、受害者画像一致性以及代码中出现的“ pakis ”用户名等独特痕迹。此次归因进一步厘清了该组织与SideWinder等其他印度背景 APT的界限，并揭示了印度网络间谍体系内可能存在的多团队分工或资源复用现象。

02

关键发现

• 活动持续性与规模 ： 2025年1月至 2026 年1月， SloppyLemming保持高度活跃，累计注册112个Cloudflare Workers恶意域名， 2025年7月达到顶峰（ 42个新域）。

• 双攻击链设计 ：采用PDF诱饵 +ClickOnce部署和Excel宏+可执行文件两条并行的攻击链，均通过DLL搜索顺序劫持技术实现代码执行。

• 定制化武器库 ：发现两款此前未公开的恶意软件——内存Shellcode后门 BurrowShell （支持15种命令，含 SOCKS代理）和 Rust编写的键盘记录器（集成端口扫描、文件操作等模块）。

• 云服务大规模武器化 ：持续滥用 Cloudflare Workers平台，域名伪装为巴基斯坦和孟加拉国政府机构（如 pnra.org 、 desco-gov-bd），实现低延迟、高匿名的C2通信。

• 重大OPSEC失误 ：三个C2域配置为开放目录，暴露Havoc框架组件、 RC4 密钥及内部文件结构，为防御方提供了直接视角。

• 目标聚焦关键基础设施 ：攻击对象包括巴基斯坦核监管局（PNRA）、巴基斯坦海军、国家物流公司、孟加拉达卡电力公司（DESCO）、孟加拉国家电网（ PGCB）等，显示明确的战略情报收集意图。

• 归因证据更新 ：代码编译路径（ C:\Users\pakis.cargo\registry ）与 ClickOnce清单主机名（DESKTOP-7LTGBEK\pakis）关联，强化了与 SloppyLemming的关联。

03

最新攻击活动全景

总体概述

SloppyLemming在2025年1月至2026年1月期间，针对巴基斯坦和孟加拉国的政府及关键基础设施实体发动了持续性网络间谍攻击。攻击以鱼叉式钓鱼为初始入口，利用PDF和Excel文档传递恶意负载，最终植入定制后门，实现长期驻留和数据窃取。基础设施分析显示，该组织在2025年7月达到攻击峰值，当月注册42个新域名，显示出高度计划性和资源投入。

目标行业与实体

04

攻击链技术解析

攻击链1：PDF诱饵 + ClickOnce部署 + DLL侧加载

• 初始访问 ：受害者收到伪装成官方文件的PDF，显示“PDF阅读器已禁用”，诱导点击“下载文件”按钮。

• 重定向 ：点击后跳转至Cloudflare Workers恶意域名（如hxxps://webmail-pnra[.]gov-pk[.]workers[.]dev），下载ClickOnce应用清单（.application）。

• 多文件下载 ：清单指定下载三个文件：OneDrive.exe（合法NGenTask.exe重命名）、mscorsvc.dll（恶意加载器）、system32.dll（加密shellcode）。

• DLL侧加载 ：OneDrive.exe执行时从当前目录加载mscorsvc.dll，加载器执行路径验证、持久化（添加Run键）并使用RC4密钥解密system32.dll，最终在内存中执行BurrowShell后门。

攻击链2：Excel宏 + 可执行文件 + DLL侧加载

• 初始访问 ：受害者打开带宏的Excel文档，宏自动执行。

• 下载文件 ：宏下载两个文件：favicon.ico（保存为C:\ProgramData\sppc.dll，Rust键盘记录器）和audiodg.pdf（保存为C:\ProgramData\audiodg.exe，合法phoneactivate.exe重命名）。

• 执行与加载 ：宏执行audiodg.exe，该合法二进制从当前目录加载sppc.dll，触发键盘记录器运行。

05

核心恶意软件分析

BurrowShell（内存Shellcode后门）

Rust 键盘记录器

06

基础设施演进与OPSEC失误

Cloudflare Workers大规模武器化

重大OPSEC失误：开放目录

• 发现时间 ：Arctic Wolf Labs分析期间（2026年1月前后）

• 暴露域名数量 ：3个

• webmail-pnra[.]gov-pk[.]workers[.]dev

• info[.]sco-gov-pk[.]workers[.]dev

• file-super-net-pk[.]workers[.]dev

• 暴露内容性质 ：

• 攻击工具组件：包括OneDrive.exe、mscorsvc.dll、system32.dll、sppc.dll等恶意载荷

• Havoc C2框架相关文件：cryptbase.dll、test.dll（Havoc加载器）、vault.dll（Havoc shellcode）

• RC4 加密密钥：oudabiaxuixskxmdwrnomhwomdgduszp（用于Havoc加载器）

• 新C2域：info[.]bangladesh-islamic-baank[.]workers[.]dev（暴露的Havoc shellcode中包含）

• 安全影响 ：使研究人员得以直接获取内部武器库，重建攻击链，并发现此前未知的基础设施节点。

07

归因分析：证据更新、与其他印度APT的关系

归因证据（较2024年进展）

SloppyLemming与其他印度APT的关系

• 与SideWinder的区分 ：尽管两者都使用PDF诱饵和ClickOnce，但SideWinder未使用Havoc框架，且OPSEC更严谨，本次攻击中发现的Rust工具和开放目录失误与SideWinder特征不符。

• 与Mysterious Elephant、Dropping Elephant的关系 ：根据Kaspersky分析，Mysterious Elephant主要针对外交、军事机构，Dropping Elephant有自身独特特征，目前无证据表明与SloppyLemming存在重叠或隶属关系，应视为独立实体分别追踪。

• 与Fishing Elephant的关系 ：多份报告确认Fishing Elephant即SloppyLemming，此次发现的Rust键盘记录器和BurrowShell进一步巩固了同一性。

• 可能的团队分工 ：Proofpoint指出多个印度背景APT（TA397/Bitter、TA399/Sidewinder、TA395/Frantic Tiger）存在诱饵主题、账号复用现象，暗示可能存在统一资源调度或多团队协作。SloppyLemming作为其中之一，其工具演进可能受益于更广泛的开发支持，但本次发现的定制化工具显示其具备独立开发能力。

归因置信度

Arctic Wolf Labs评估为 中等置信度 ，原因：

• 优势证据 ：TTP连续性、工具共享（Havoc）、受害者画像一致、代码中“pakis”用户名。

• 不确定因素 ：公开技术可能被模仿，缺乏直接基础设施重叠（如IP关联），SideWinder等组织存在部分TTP相似性。

08

MITRE ATT&CK 映射（关键战术与技术）

09

结论

SloppyLemming在2025-2026年的活动展现了印度背景APT组织的显著进化：工具从借用走向自主开发，攻击链从简单走向复杂，目标从政府机构扩展至国家关键基础设施。其大规模滥用Cloudflare Workers平台、引入Rust语言、开发支持内网穿透的BurrowShell后门，标志着技术能力的实质性提升。然而，开放目录等OPSEC失误也暴露了其成熟度短板，为防御方提供了宝贵的检测机会。

对于巴基斯坦、孟加拉国及其他南亚国家的高价值目标而言，SloppyLemming已成为不容忽视的持续性威胁。各组织应结合本报告提供的IOCs、YARA规则及MITRE ATT&CK映射，强化邮件网关、终端检测及网络流量监控，尤其需警惕伪装成政府域名的Cloudflare Workers通信。

揭秘印度APT组织SloppyLemming在南亚的网络间谍活动

【参考资源】

1、https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/

2、https://www.darkreading.com/threat-intelligence/india-apt-sloppy-lemming-defense-critical-infrastructure

3、https://www.darkreading.com/cloud-security/sloppylemming-apt-cloudflare-pakistan-attacks

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《印度APT组织SloppyLemming最新网络间谍活动剖析》