Netcrook Logo
👤 AGONY
🗓️ 05 Mar 2026   🌍 Asia

BurrowShell dans l’ombre : des hackers liés à l’Inde mènent une cyberguerre furtive contre l’Asie du Sud-Est

Une campagne d’espionnage d’un an cible les institutions les plus sensibles du Pakistan et du Bangladesh avec de nouveaux malwares ingénieux et des techniques de dissimulation basées sur le cloud.

Tout a commencé discrètement, avec un PDF flou et un simple message : « Le lecteur PDF est désactivé. » Mais derrière cette façade anodine, une opération complexe de cyber-espionnage se déroulait - une opération qui allait pénétrer les organismes de régulation nucléaire, les services publics d’énergie et les réseaux de défense au Pakistan et au Bangladesh. Les auteurs ? Un groupe obscur lié à l’Inde, connu sous le nom de SloppyLemming, désormais armé de nouvelles armes numériques et d’une infrastructure furtive en pleine expansion.

Au cœur de l’attaque : du spear-phishing à l’infiltration profonde

L’opération, minutieusement suivie par les analystes de la menace chez Arctic Wolf, révèle une escalade spectaculaire tant en ampleur qu’en sophistication. La campagne de SloppyLemming a débuté par des emails de spear-phishing, incitant les victimes à ouvrir des PDF malveillants. Ces documents n’étaient pas ordinaires - ils redirigeaient les utilisateurs vers un manifeste d’application ClickOnce, lançant une chaîne d’attaque qui chargeait un exécutable Microsoft .NET légitime accompagné d’un chargeur caché.

La véritable charge utile était BurrowShell, un implant sophistiqué capable de manipuler des fichiers, de capturer des captures d’écran, d’exécuter des commandes à distance et même d’établir des tunnels proxy pour une exploitation plus poussée. Pour échapper à la détection, BurrowShell déguisait son trafic de commande et contrôle (C2) en communications Windows Update inoffensives, chiffrant les messages avec RC4 pour plus de discrétion.

Nuages de tromperie : expansion de l’infrastructure

Ce qui frappe le plus, c’est l’utilisation des plateformes cloud par les attaquants. Plus de 112 domaines Cloudflare Workers ont été enregistrés - beaucoup se faisant passer pour des entités gouvernementales pakistanaises ou bangladaises telles que la Pakistan Nuclear Regulatory Authority (PNRA) et la Dhaka Electric Supply Company (DESCO). Cela a permis au trafic malveillant de SloppyLemming de se fondre parfaitement dans l’activité web légitime, frustrant les défenseurs et retardant la détection. Des erreurs de configuration d’annuaires ouverts sur certains domaines ont même exposé des malwares en attente, y compris des outils pour contrôler les systèmes compromis.

Cibler les centres névralgiques

La liste des victimes ressemble à un annuaire de la sécurité nationale : agences nucléaires, marine pakistanaise, fournisseurs de télécommunications, opérateurs de réseau énergétique et la Bangladesh Bank. La motivation géopolitique évidente de la campagne rappelle crûment à quel point les opérations cyber sont désormais au cœur des luttes de pouvoir régionales.

Avec un cheval de Troie d’accès à distance (RAT) basé sur Rust et une attention particulière à la sécurité opérationnelle, SloppyLemming a prouvé qu’il n’était pas un groupe d’amateurs - c’est un groupe aligné sur un État, doté de la patience et des ressources nécessaires pour infiltrer, persister et exfiltrer des données des institutions les plus vitales de la région.

Conclusion : le nouveau visage de l’espionnage

La campagne de SloppyLemming est une étude de cas de la cyberguerre moderne : furtive, alimentée par le cloud et implacablement ciblée. À mesure que les lignes de front numériques de l’Asie du Sud deviennent de plus en plus disputées, les défenseurs doivent faire face à des adversaires qui allient ingéniosité technique et objectifs géopolitiques - laissant comme seule trace visible de leur guerre cachée des PDF flous.

WIKICROOK

  • Spear : Le spear phishing est une cyberattaque ciblée utilisant des emails personnalisés pour inciter des individus ou organisations spécifiques à révéler des informations sensibles.
  • DLL sideloading : Le DLL sideloading consiste à tromper des programmes de confiance pour qu’ils chargent des fichiers DLL malveillants au lieu des fichiers légitimes, permettant ainsi des attaques cachées.
  • Command : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Cloudflare Workers : Cloudflare Workers permet aux développeurs d’exécuter du code sur le réseau Cloudflare, automatisant des fonctions de site web sans avoir besoin de serveurs propres.
  • RC4 encryption : Le chiffrement RC4 est une méthode obsolète et peu sûre de brouillage des données, désormais considérée comme vulnérable et déconseillée pour un usage moderne.
Cyber Espionage SloppyLemming Southeast Asia
AGONY AGONY
Elite Offensive Security Commander
← Back to news