Cloudflare ha recentemente segnalato una minaccia avanzata legata a hacker con sede in India, che stanno prendendo di mira entità nel Sud e nell'Est dell'Asia. Questi attacchi sono principalmente finalizzati alla raccolta di credenziali, alla distribuzione di malware e al controllo delle infrastrutture compromesse (C2). L'attività di questi hacker, denominata "SloppyLemming" da Cloudflare, è stata osservata a partire da luglio 2021 e coinvolge diverse campagne malevole.

Le entità bersaglio di questi attacchi includono governi, forze dell'ordine, settori energetici, educativi, delle telecomunicazioni e tecnologici in paesi come Pakistan, Sri Lanka, Bangladesh, Cina, Nepal e Indonesia. Gli attacchi iniziano spesso con email di spear-phishing che inducono i destinatari a cliccare su link malevoli, portandoli a pagine di raccolta di credenziali. Queste pagine permettono agli hacker di ottenere accesso non autorizzato agli account email delle organizzazioni bersaglio.

Uno degli strumenti utilizzati dagli hacker è un tool personalizzato chiamato "CloudPhish", che crea un Cloudflare Worker malevolo per gestire la logica di registrazione delle credenziali e l'esfiltrazione delle stesse. Tecniche simili sono state utilizzate per catturare token OAuth di Google e distribuire archivi RAR infetti che sfruttano una vulnerabilità di WinRAR (CVE-2023-38831) per eseguire codice remoto. All'interno dei file RAR infetti si trovano eseguibili che caricano in modo furtivo "CRYPTSP.dll", un downloader che recupera un trojan di accesso remoto ospitato su Dropbox.

Campagne Documentate

Un'altra campagna analoga è stata documentata da SEQRITE, che ha osservato gli attori di SideCopy mirare ai settori governativi e della difesa indiani per distribuire Ares RAT tramite archivi ZIP. Una terza sequenza di infezione utilizzata da SloppyLemming coinvolge l'uso di esche di spear-phishing che portano le vittime a un sito web falso che impersona il Punjab Information Technology Board (PITB) del Pakistan. Da lì, le vittime vengono reindirizzate a un altro sito contenente un file di collegamento internet che scarica un eseguibile da un server remoto.

Cloudflare ha rilevato che gli URL dei Cloudflare Worker agiscono come intermediari, inoltrando richieste al dominio C2 effettivo utilizzato dagli avversari. L'azienda ha osservato sforzi concertati da parte di SloppyLemming per prendere di mira i dipartimenti di polizia pakistani e altre organizzazioni delle forze dell'ordine, con indicazioni di attacchi contro entità coinvolte nella gestione dell'unica struttura nucleare del Pakistan. Altri bersagli includono organizzazioni governative e militari in Sri Lanka e Bangladesh, e in misura minore entità del settore energetico e accademico cinesi.