文章总结： SloppyLemming组织疑似关联印度，长期针对巴基斯坦和孟加拉国政府及核设施进行间谍活动。攻击者利用鱼叉式钓鱼投放BurrowShell后门与Rust木马，通过DLL劫持与CloudflareWorkers基础设施隐蔽渗透，伪装系统流量规避检测。建议相关机构加强邮件安全审计，监控异常DLL加载行为及可疑外联流量。 综合评分： 75 文章分类： 威胁情报,恶意软件,安全大事件

SloppyLemming间谍活动利用攻击巴基斯坦和孟加拉

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月4日 09:02 湖北

导读

一个名为 SloppyLemming 的疑似与印度关联的威胁组织一直针对巴基斯坦和孟加拉国政府机构、国防组织、核监督机构和关键基础设施运营商进行持续的间谍活动。

该组织自 2021 年起活跃，也被称为 Outrider Tiger 和 Fishing Elephant，在 2025 年 1 月至 2026 年 1 月期间部署了两款新近记录的工具：一个名为 BurrowShell 的定制后门和一个基于 Rust 的远程访问木马，该木马具备键盘记录功能。

该攻击活动采用了两条独立的攻击路径，均通过鱼叉式网络钓鱼发起。第一条路径使用页面模糊、带有虚假“下载文件”按钮的PDF诱饵文档。

点击后，受害者会被重定向到一个 ClickOnce 应用程序清单，该清单会悄无声息地将多阶段恶意软件链投放到他们的设备上。

第二种攻击路径利用了启用宏功能的Excel电子表格，这些表格一旦打开，就会悄悄地从攻击者控制的服务器下载并执行恶意载荷。

Arctic Wolf 分析师认定这两条攻击链是同一协同行动的一部分。它们都利用 DLL 搜索顺序劫持技术，通过受信任的微软进程运行恶意代码。

攻击者将恶意DLL文件放置在合法的、经过签名的微软二进制文件旁边，从而在安全软件通常认为安全的进程中执行了他们的工具。

这项行动背后的基础设施相当庞大。Arctic Wolf 的研究人员追踪到 2025 年 1 月至 2026 年 1 月期间注册的 112 个独立的 Cloudflare Workers 域名——比之前报告中记录的 13 个域名增加了八倍。

每个域名都以模仿真实政府机构的名称命名，包括巴基斯坦核监管局、巴基斯坦海军、达卡电力供应公司和孟加拉国银行。域名注册量在2025年7月达到峰值，单月新增域名达42个。

在巴基斯坦，该组织的目标领域包括核监管、国防后勤、电信和政府行政部门。在孟加拉国，该组织则重点关注能源公司、金融机构和媒体机构。

这一模式与南亚地区竞争相关的情报收集重点相吻合，而持续一年的、不断扩大基础设施的行动表明了其有组织的、长期的意图。

BurrowShell 是一种通过 ClickOnce 攻击链传播的内存内 shellcode 植入程序。

感染始于一个恶意加载器被一个重命名的 Microsoft .NET 二进制文件（以 的形式提供 mscorsvc.dll）引入 ，该二进制文件 放置在同一文件夹中。在执行任何有效载荷之前，该加载器会检查父进程是否在允许的目录中运行。NGenTask.exeOneDrive.exe

如果检查失败，恶意软件会立即关闭，以防止在分析沙箱内执行。

如果位置检查通过，加载程序会在注册表中写入一个条目， Software\Microsoft\Windows\CurrentVersion\Run 以便 OneDrive.exe 在每次重启时启动，从而使感染持续存在。

然后，它读取一个名为 <filename> 的 RC4 加密文件 system32.dll ，并使用硬编码的 32 位密钥对其进行解密，从而将 BurrowShell 释放到内存中。由于 shellcode 不会以独立文件的形式保存到磁盘上，因此文件扫描工具很难检测到它。

BurrowShell 一旦激活，就会通过 443 端口连接到其命令和控制服务器，并将其流量伪装成 Windows 更新通信。

在注册受感染主机及其系统详细信息后，该植入程序会进入持续的心跳检测循环，等待指令。该植入程序支持十五项指令——文件操作、屏幕截图、shell 执行和 SOCKS 代理隧道。

这款基于 Rust 的键盘记录器通过 Excel 宏部署，扩展了这些功能，增加了击键记录、端口扫描和网络枚举等功能。

技术报告：

SloppyLemming Deploys BurrowShell and Rust-Based RAT to Target Pakistan and Bangladesh

新闻链接：

SloppyLemming Espionage Campaign Uses BurrowShell Backdoor and Rust RAT to Hit Pakistan and Bangladesh Targets

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《SloppyLemming间谍活动利用攻击巴基斯坦和孟加拉》