Netcrook Logo
👤 AGONY
🗓️ 03 Mar 2026   🌍 Asia

Dentro de la Guarida: Cómo las Cadenas Dobles de Malware de SloppyLemming Vulneraron a Gobiernos del Sur de Asia

Una sofisticada campaña de ciberespionaje aprovecha nuevas herramientas de malware e infraestructura en la nube para infiltrarse en las instituciones más críticas de Pakistán y Bangladesh.

Todo comenzó con un correo electrónico de apariencia común - solo otro archivo PDF adjunto en las bandejas de entrada de funcionarios gubernamentales. Pero detrás de esta fachada digital se escondía una operación elaborada que desmantelaría las defensas de ministerios y operadores de infraestructura en Pakistán y Bangladesh. ¿El culpable? SloppyLemming, un grupo de hackers en la sombra cuya última campaña revela un peligroso salto tanto en ambición como en destreza técnica.

Descifrando el Código: Anatomía del Ataque

Según analistas de ciberseguridad de Arctic Wolf, los ataques de SloppyLemming distaron mucho de ser amateur. Su campaña, que se extendió a lo largo de 2025, se basó en spear-phishing altamente dirigido: correos personalizados que engañaban a los destinatarios para que abrieran PDFs o hojas de cálculo Excel armadas. No se trataba de ataques aleatorios y dispersos. Cada señuelo estaba diseñado para atraer a funcionarios de los sectores de regulación nuclear, defensa, telecomunicaciones y energía - reflejando un claro motivo de recopilación de inteligencia.

La cadena de infección comenzaba con archivos PDF que contenían enlaces ocultos. Al hacer clic en estos enlaces, las víctimas eran dirigidas a manifiestos de aplicaciones que, a su vez, desplegaban un ejecutable legítimo de Windows y un cargador malicioso. Este cargador, hábilmente disfrazado mediante DLL side-loading, descifraba y ejecutaba un implante de shellcode personalizado apodado BurrowShell. Una vez dentro, BurrowShell funcionaba como una puerta trasera de funciones completas - permitiendo a los atacantes hurgar en archivos, tomar capturas de pantalla, ejecutar comandos remotos e incluso tunelizar tráfico de red fuera de la organización, todo mientras se hacía pasar por actualizaciones rutinarias de Windows.

Mientras tanto, una cadena de ataque paralela utilizaba documentos Excel habilitados con macros para desplegar un nuevo keylogger basado en Rust. Esta herramienta no solo capturaba pulsaciones de teclas; también mapeaba redes internas, escaneando puertos y enumerando sistemas conectados. La elección de Rust, un lenguaje de programación moderno raramente visto en este tipo de ataques hasta ahora, señala una evolución en el arsenal de SloppyLemming y un esfuerzo por evadir los métodos tradicionales de detección.

Quizás lo más llamativo es la escala y la infraestructura detrás de la operación. Los investigadores descubrieron 112 dominios configurados usando Cloudflare Workers - un aumento masivo respecto a años anteriores - lo que sugiere tanto una mayor actividad como un esfuerzo deliberado por mezclar tráfico malicioso con servicios legítimos en la nube. La campaña también tomó prestadas técnicas de otros grupos de amenazas notorios, como SideWinder, difuminando las líneas entre actores de ciberespionaje ya establecidos en la región.

¿Qué Está en Juego?

Los objetivos de la campaña de SloppyLemming - reguladores nucleares, logística de defensa, operadores de telecomunicaciones e instituciones financieras - apuntan a un intento calculado de recopilar inteligencia y, potencialmente, interrumpir funciones nacionales vitales. Con las tensiones regionales en el sur de Asia en aumento, las implicaciones van mucho más allá del ámbito digital.

A medida que SloppyLemming gira hacia herramientas más sofisticadas e infraestructura en la nube, el incidente subraya una realidad escalofriante: la carrera armamentista del ciberespionaje en el sur de Asia se está acelerando, y nunca antes las apuestas han sido tan altas.

WIKICROOK

  • Spear: El spear phishing es un ciberataque dirigido que utiliza correos electrónicos personalizados para engañar a individuos u organizaciones específicas y hacerles revelar información sensible.
  • DLL side: DLL Side es una técnica en la que los atacantes engañan a los programas para que carguen archivos DLL maliciosos, eludiendo la seguridad y obteniendo acceso o control no autorizado.
  • Backdoor: Una puerta trasera es una forma oculta de acceder a una computadora o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
  • Keylogger: Un keylogger es una herramienta que registra en secreto todo lo que un usuario escribe, utilizada frecuentemente por ciberdelincuentes para robar contraseñas e información sensible.
  • Cloudflare Workers: Cloudflare Workers permite a los desarrolladores ejecutar código en la red de Cloudflare, automatizando funciones de sitios web sin necesidad de servidores propios.
SloppyLemming Cyber-espionage South Asia
AGONY AGONY
Elite Offensive Security Commander
← Back to news