SloppyLemming, Dual Malware Chains를 사용해 파키스탄 및 방글라데시 정부를 표적

Source: The Hacker News

Ravie Lakshmanan
Mar 03, 2026 – Malware / Phishing

Source: https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/

개요

위협‑활동 클러스터 SloppyLemming이 파키스탄과 방글라데시의 정부 기관 및 핵심 인프라 운영자를 대상으로 새로운 공격 물결을 시작했습니다. Arctic Wolf의 조사에 따르면 이번 캠페인은 2025년 1월부터 2026년 1월까지 진행되었으며, BurrowShell 백도어와 Rust 기반 키로거를 전달하는 두 개의 별도 공격 체인을 사용했습니다.

“Rust 프로그래밍 언어의 사용은 SloppyLemming의 도구가 눈에 띄게 진화했음을 나타냅니다. 이전 보고서에서는 이 행위자가 전통적인 컴파일 언어와 Cobalt Strike, Havoc, 맞춤형 NekroWire RAT와 같은 적대 시뮬레이션 프레임워크만 사용한 것으로 문서화되었습니다.”라고 사이버 보안 회사는 The Hacker News와 공유한 보고서에서 밝혔습니다【https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/】.

위협 행위자 프로필

• 이름: SloppyLemming (또는 Outrider Tiger【https://www.crowdstrike.com/en-us/adversaries/outrider-tiger/】 및 Fishing Elephant 로도 알려짐)
• 대상: 파키스탄, 스리랑카, 방글라데시, 중국의 정부, 법 집행, 에너지, 통신 및 기술 부문 (활동은 최소 2022년부터 문서화됨).
• 이전 악성코드: Ares RAT 및 WarHawk, 각각 SideCopy 및 SideWinder와 연관됨.
• 능력 수준: 중간 (Arctic Wolf에 의해 평가됨).

공격 체인

1. PDF 유인 체인

• 전달: 악성 PDF 첨부 파일이 포함된 스피어‑피싱 이메일.

• 실행: PDF에 ClickOnce 애플리케이션 매니페스트를 실행하는 URL이 포함되어 있으며, 이를 통해 다음이 설치됩니다:

  • 합법적인 Microsoft .NET 런타임 실행 파일(NGenTask.exe)
  • 악성 로더(mscorsvc.dll)

• 기법: DLL 사이드‑로딩을 통해 악성 DLL을 로드하고, 해당 DLL이 복호화하여 BurrowShell이라는 맞춤형 x64 쉘코드 임플란트를 실행합니다.

“BurrowShell은 파일 시스템 조작, 스크린샷 캡처, 원격 쉘 실행, 그리고 네트워크 터널링을 위한 SOCKS‑프록시 기능을 제공하는 완전한 기능을 갖춘 백도어이며,” Arctic Wolf가 말했습니다. “이 임플란트는 명령·제어(C2) 트래픽을 Windows Update 서비스 통신으로 가장하고, 페이로드 보호를 위해 32자 키를 사용하는 RC4 암호화를 사용합니다.”

2. Excel 매크로 유인 체인

• 전달: 매크로가 활성화된 Excel 문서가 첨부된 스피어‑피싱 이메일.
• 페이로드: 악성 매크로가 Rust‑기반 키로거를 설치하고, 포트 스캔 및 네트워크 열거도 수행합니다.

인프라스트럭처

• Cloudflare Workers: 캠페인 기간 동안 112개의 도메인이 등록되었으며, 이는 2024년 9월에 Cloudflare가 표시한 13개 도메인보다 8배 증가한 수치입니다.
• Typo‑squatting: 정부 테마 도메인이 피싱 유인에 사용됨.
• C2 Framework: Havoc 프레임워크 배포【https://thehackernews.com/2023/02/threat-actors-adopt-havoc-framework-for.html】.
• Techniques: DLL 사이드‑로드, ClickOnce 기반 실행, 그리고 이중 페이로드 배포.

Source: …

Attribution and Tradecraft Overlap

• Commonalities with SloppyLemming:

  • Cloudflare Workers를 오타‑스쿼팅과 함께 지속적으로 사용.
  • DLL 사이드‑로딩.
  • 이전 캠페인과 일치하는 피해자 프로파일.

• Overlap with SideWinder:

  • Trellix가 문서화한 SideWinder 캠페인(2025년 10월)에서 관찰된 ClickOnce‑활성 실행 기법【https://thehackernews.com/2025/10/sidewinder-adopts-new-clickonce-based.html】.

“특히 파키스탄 핵 규제 기관, 방위 물류 조직, 통신 인프라를 목표로 하는 동시에 방글라데시 에너지 유틸리티와 금융 기관을 겨냥한 것은 남아시아 지역 전략적 경쟁과 일치하는 정보 수집 우선순위와 맞물린다”고 Arctic Wolf가 말했다.

“이중 페이로드—C2와 SOCKS 프록시 작업을 위한 인‑메모리 쉘코드 BurrowShell, 그리고 정보를 탈취하는 Rust 기반 키로거—의 배치는 위협 행위자가 목표 가치와 운영 요구에 따라 적절한 도구를 유연하게 배치한다는 것을 시사한다.”

Source: Arctic Wolf report (shared with The Hacker News)

---

이 기사가 흥미로우셨나요?
더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.