Netcrook Logo
👤 AGONY
🗓️ 05 Mar 2026   🌍 Asia

BurrowShell en las sombras: hackers vinculados a la India libran una guerra cibernética sigilosa en el sudeste asiático

Una ofensiva de espionaje de un año apunta a las instituciones más sensibles de Pakistán y Bangladés con un nuevo malware astuto y engaños en la nube.

Todo comenzó silenciosamente, con un PDF borroso y un mensaje simple: “El lector de PDF está deshabilitado”. Pero detrás de esta fachada inocua, se desplegaba una compleja operación de ciberespionaje - una que penetraría a reguladores nucleares, empresas energéticas y redes de defensa en Pakistán y Bangladés. ¿Los perpetradores? Un grupo sombrío vinculado a la India conocido como SloppyLemming, que ahora empuña nuevas armas digitales y un arsenal en rápida expansión de infraestructura sigilosa.

Dentro del ataque: del spear-phishing a la infiltración profunda

La operación, meticulosamente rastreada por analistas de amenazas de Arctic Wolf, revela una escalada dramática tanto en escala como en sofisticación. La campaña de SloppyLemming comenzó con correos de spear-phishing, atrayendo a las víctimas a abrir PDFs maliciosos. Estos documentos no eran ordinarios - redirigían a los usuarios a un manifiesto de aplicación ClickOnce, iniciando una cadena de ataque que cargaba lateralmente un ejecutable legítimo de Microsoft .NET junto a un cargador oculto.

La verdadera carga útil era BurrowShell, un implante sofisticado capaz de manipular archivos, capturar capturas de pantalla, ejecutar comandos remotos e incluso establecer túneles proxy para una explotación adicional. Para evadir la detección, BurrowShell disfrazaba su tráfico de comando y control (C2) como comunicaciones inofensivas de Windows Update, cifrando los mensajes con RC4 para mayor sigilo.

Nubes de engaño: expansión de la infraestructura

Quizás lo más llamativo es el uso de plataformas en la nube por parte de los atacantes. Se registraron más de 112 dominios de Cloudflare Workers - muchos haciéndose pasar por entidades gubernamentales de Pakistán o Bangladés, como la Autoridad Reguladora Nuclear de Pakistán (PNRA) y la Compañía de Suministro Eléctrico de Dhaka (DESCO). Esto permitió que el tráfico malicioso de SloppyLemming se mezclara perfectamente con la actividad web legítima, frustrando a los defensores y retrasando la detección. Incluso, configuraciones incorrectas de directorios abiertos en algunos dominios expusieron malware preparado, incluyendo herramientas para controlar sistemas comprometidos.

Apuntando a los centros neurálgicos

La lista de víctimas parece un “quién es quién” de la seguridad nacional: agencias nucleares, la Marina de Pakistán, proveedores de telecomunicaciones, operadores de la red eléctrica y el Banco de Bangladés. La evidente motivación geopolítica de la campaña es un recordatorio contundente de cómo las operaciones cibernéticas son ahora parte integral de las luchas de poder regionales.

Con un troyano de acceso remoto (RAT) basado en Rust y una aguda atención a la seguridad operativa, SloppyLemming ha demostrado que no es un grupo amateur - es un colectivo alineado con el Estado, con la paciencia y los recursos para infiltrarse, persistir y exfiltrar datos de las instituciones más vitales de la región.

Conclusión: el nuevo rostro del espionaje

La campaña de SloppyLemming es un caso de estudio de la guerra cibernética moderna: sigilosa, impulsada por la nube y dirigida sin descanso. A medida que las líneas del frente digital del sur de Asia se vuelven cada vez más disputadas, los defensores deben enfrentarse a adversarios que combinan ingenio técnico con intenciones geopolíticas - dejando como único rastro visible PDFs borrosos de su guerra oculta.

WIKICROOK

  • Spear: El spear phishing es un ciberataque dirigido que utiliza correos electrónicos personalizados para engañar a individuos u organizaciones específicas y obtener información sensible.
  • DLL sideloading: El DLL sideloading ocurre cuando los atacantes engañan a programas confiables para que carguen archivos auxiliares maliciosos (DLLs) en lugar de los legítimos, permitiendo ataques ocultos.
  • Command: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Cloudflare Workers: Cloudflare Workers permite a los desarrolladores ejecutar código en la red de Cloudflare, automatizando funciones web sin necesidad de servidores propios.
  • RC4 encryption: El cifrado RC4 es un método obsoleto e inseguro para codificar datos, ahora considerado vulnerable y no recomendado para uso moderno.
Cyber Espionage SloppyLemming Southeast Asia
AGONY AGONY
Elite Offensive Security Commander
← Back to news