インドと関連があるとされるスパイ活動キャンペーンがパキスタン、バングラデシュ、スリランカを標的に

昨年のスパイ活動キャンペーンがパキスタン、バングラデシュ、スリランカの政府機関と重要インフラ事業者を標的にしたと、サイバーセキュリティ企業Arctic Wolfの研究者らは月曜日に述べました。 

研究者らはこのキャンペーンをSloppyLemmingと呼ぶインド関連の脅威アクターが実行したもので、2024年9月にCloudflareが特定した脅威活動の拡大であると述べました。  

このキャンペーンは2025年1月から始まり1年間実行され、2つの異なるタイプの攻撃を特徴としていました。1つはBurrowShellとして知られるマルウェアを含む悪意のあるPDFの配信で、このバックドアはハッカーがスクリーンショットを撮ったりファイルシステムを操作したりすることを可能にします。もう1つの攻撃方法では、キーロガーと偵察機能を備えたマルウェアが含まれた悪意のあるExcelドキュメントを送信していました。

「技術分析は、中程度の能力で活動する脅威アクターを示しています。マルチステージの実行チェーンは防御回避技術の理解を示し、Windows内部への精通を示していますが、運用セキュリティの失敗、特にオープンディレクトリの露出は、より規律ある脅威アクターの能力に及ばない領域があることを示唆しています」とArctic Wolf研究者らは述べました。 

「この評価はグループ名の’Sloppy’という指定に合致しており、これは歴史的に一貫性を欠く運用セキュリティを指しています。」

攻撃者は昨年登録された112個のCloudflareドメインを使用して、マルウェアをステージングしており、被害者を欺くために設計されたパキスタンおよびバングラデシュの政府をテーマにした名前を持っていました。 

インシデント対応者らは、このキャンペーンがパキスタン原子力規制当局などのパキスタン原子力規制機関、防衛ロジスティクス組織、通信インフラ、ならびにバングラデシュのエネルギー企業と金融機関を標的にしたと指摘しました。

パキスタン海軍と国家ロジスティクス公社、ならびにパキスタンのDESCONやバングラデシュ電力公社などのエネルギー企業が標的にされました。攻撃者は特別通信機構とパキスタン電気通信会社などの通信プロバイダーも狙いました。

研究者らはSloppyLemmingが少なくとも2021年以来サイバースパイ活動攻撃を実施しており、インド政府の利益に合致する標的を持っていると述べました。 

「PDFリーダーは無効です」

キャンペーンは通常、悪意のあるドキュメントを含むソーシャルエンジニアリングまたはスピアフィッシングメールで開始します。 

ドキュメントが開かれると、被害者は「PDFリーダーは無効です」と主張するテキストで覆われたぼやけたコンテンツを見ます。被害者はハッカーアクセスを可能にするためのさらなる措置を講じるよう促されます。

マルウェアにはキーロガーのほか、永続性、ネットワークスキャン、スクリーンショット撮影などを可能にするメカニズムが含まれています。少なくとも1つの悪意のあるメールはバングラデシュの金融機関になりすましていました。 

Arctic Wolfは、2025年10月にサイバーセキュリティ企業Trellixによって開示されたものとの間にいくつかの重複を発見しました。

Cloudflareは以前、SloppyLemmingキャンペーンは2022年末に開始され、主にパキスタンを標的にしたが、スリランカ、ネパール、バングラデシュ、インドネシア、中国に対しても攻撃を実施し、政府、法執行機関、エネルギー、通信、テクノロジー企業に特に焦点を当てたと述べていました。

Cloudflareはキャンペーンをインド国内の俳優にリンクしませんでしたが、インシデント対応企業Crowdstrikeによって「Outrider Tiger」として追跡されている脅威アクターと一致していると述べました。Crowdstrikeはこの脅威アクターを「インド関連の標的型侵入敵対者」と説明し、「洗練された認証情報収集技術を採用」し、「インド国家情報収集要件をサポート」していると述べています。