[오늘의 보안] SloppyLemming 악성코드 공격

<3줄 요약>

SloppyLemming 해킹 그룹이 파키스탄과 방글라데시 정부 기관 및 핵심 인프라를 대상으로 BurrowShell과 Rust 기반 키로거를 사용한 이중 공격 체인 전개
PDF 미끼와 매크로가 포함된 엑셀 문서를 통한 스피어 피싱으로 공격을 시작하며, DLL 사이드 로딩 기법을 활용하여 악성코드 실행
BurrowShell은 파일 시스템 조작, 스크린샷 캡처, 원격 쉘 실행, SOCKS 프록시 기능을 제공하며 C2 통신을 Windows Update로 위장

 

<용어 설명>

SloppyLemming : 2022년부터 파키스탄, 스리랑카, 방글라데시, 중국의 정부 기관 및 핵심 인프라를 대상으로 활동하는 해킹 그룹. Outrider Tiger, Fishing Elephant로도 알려짐
BurrowShell : 파일 시스템 조작, 스크린샷 캡처, 원격 쉘 실행, SOCKS 프록시 기능을 제공하는 전기능 백도어 악성코드
DLL 사이드 로딩 (DLL Side-Loading) : 정상적인 실행 파일이 악성 DLL을 로드하도록 만드는 공격 기법
ClickOnce : 마이크로소프트의 배포 기술로, 웹에서 애플리케이션을 쉽게 설치하고 실행할 수 있도록 하는 기술
Rust : 메모리 안전성과 성능을 강조하는 프로그래밍 언어
C2 (Command and Control) : 공격자가 감염된 시스템을 원격으로 제어하기 위한 서버
<출처>

https://thehackernews.com/2026/03/sloppylemming-targets-pakistan-and.html

SloppyLemming Targets Pakistan and Bangladesh Governments Using Dual Malware Chains

 

<본문>

<한글 버전>

SloppyLemming으로 알려진 위협 활동 클러스터가 파키스탄과 방글라데시의 정부 기관 및 핵심 인프라 운영자를 대상으로 한 새로운 공격에 연루되었습니다.

Arctic Wolf에 따르면 이 활동은 2025년 1월부터 2026년 1월 사이에 발생했습니다. 이 공격은 BurrowShell과 Rust 기반 키로거로 추적되는 악성코드 패밀리를 전달하기 위해 두 가지 별개의 공격 체인을 사용합니다.

"Rust 프로그래밍 언어의 사용은 SloppyLemming의 도구에서 주목할 만한 진화를 나타냅니다. 이전 보고서에서는 이 행위자가 전통적인 컴파일 언어와 Cobalt Strike, Havoc, 맞춤형 NekroWire RAT와 같은 차용된 적대자 시뮬레이션 프레임워크만 사용하는 것으로 문서화되었기 때문입니다"라고 사이버보안 회사는 The Hacker News와 공유한 보고서에서 밝혔습니다.

SloppyLemming은 최소 2022년부터 파키스탄, 스리랑카, 방글라데시, 중국의 정부, 법 집행 기관, 에너지, 통신 및 기술 기관을 대상으로 하는 것으로 알려진 위협 행위자에게 부여된 별명입니다. Outrider Tiger 및 Fishing Elephant라는 이름으로도 추적됩니다.

해킹 그룹이 수행한 이전 캠페인은 SideCopy 및 SideWinder에 각각 기인하는 Ares RAT 및 WarHawk와 같은 악성코드 패밀리를 활용했습니다.

ArcticWolf의 최신 공격 분석에 따르면 스피어 피싱 이메일을 사용하여 PDF 미끼와 매크로가 포함된 엑셀 문서를 전달하여 감염 체인을 시작하는 것으로 나타났습니다. 위협 행위자는 중간 수준의 능력으로 운영되는 것으로 설명되었습니다.

PDF 미끼에는 피해자를 ClickOnce 애플리케이션 매니페스트로 유도하도록 설계된 URL이 포함되어 있으며, 이후 정상적인 Microsoft .NET 런타임 실행 파일("NGenTask.exe")과 악성 로더("mscorsvc.dll")를 배포합니다. 로더는 DLL 사이드 로딩을 사용하여 실행되어 BurrowShell이라는 맞춤형 x64 쉘코드 임플란트를 해독하고 실행합니다.

"BurrowShell은 위협 행위자에게 파일 시스템 조작, 스크린샷 캡처 기능, 원격 쉘 실행 및 네트워크 터널링을 위한 SOCKS 프록시 기능을 제공하는 전기능 백도어입니다"라고 Arctic Wolf는 말했습니다. "이 임플란트는 C2(명령 및 제어) 트래픽을 Windows Update 서비스 통신으로 위장하며 페이로드 보호를 위해 32자 키를 사용하는 RC4 암호화를 사용합니다."

두 번째 공격 체인은 악성 매크로가 포함된 엑셀 문서를 사용하여 키로거 악성코드를 드롭하는 동시에 포트 스캐닝 및 네트워크 열거를 수행하는 기능을 통합합니다.

위협 행위자의 인프라에 대한 추가 조사에서 1년 기간 동안 등록된 112개의 Cloudflare Workers 도메인이 확인되었으며, 이는 2024년 9월 Cloudflare가 표시한 13개 도메인보다 8배 증가한 것입니다.

이 캠페인과 SloppyLemming의 연결은 정부 테마의 오타 스쿼팅 패턴을 가진 Cloudflare Workers 인프라의 지속적인 악용, Havoc C2 프레임워크 배포, DLL 사이드 로딩 기법 및 피해자 패턴을 기반으로 합니다.

위협 행위자의 전술의 일부 측면, 특히 ClickOnce 기반 실행 사용은 2025년 10월 Trellix가 문서화한 최근 SideWinder 캠페인과 겹치는 것으로 나타났습니다.

"특히 파키스탄 핵 규제 기관, 국방 물류 조직 및 통신 인프라와 함께 방글라데시 에너지 유틸리티 및 금융 기관을 대상으로 하는 것은 남아시아의 지역 전략적 경쟁과 일치하는 정보 수집 우선순위와 일치합니다"라고 Arctic Wolf는 말했습니다.

"메모리 내 쉘코드 BurrowShell을 C2 및 SOCKS 프록시 작업에, Rust 기반 키로거를 정보 탈취에 사용하는 이중 페이로드 배포는 위협 행위자가 대상 가치 및 운영 요구 사항에 따라 적절한 도구를 배포할 수 있는 유연성을 유지함을 시사합니다."

<원문>

The threat activity cluster known as SloppyLemming has been attributed to a fresh set of attacks targeting government entities and critical infrastructure operators in Pakistan and Bangladesh.

The activity, per Arctic Wolf, took place between January 2025 and January 2026. It involves the use of two distinct attack chains to deliver malware families tracked as BurrowShell and a Rust-based keylogger.

"The use of the Rust programming language represents a notable evolution in SloppyLemming's tooling, as prior reporting documented the actor using only traditional compiled languages and borrowed adversary simulation frameworks such as Cobalt Strike, Havoc, and the custom NekroWire RAT," the cybersecurity company said in a report shared with The Hacker News.

SloppyLemming is the moniker assigned to a threat actor that's known to target government, law enforcement, energy, telecommunications, and technology entities in Pakistan, Sri Lanka, Bangladesh, and China since at least 2022. It's also tracked under the names Outrider Tiger and Fishing Elephant.

Prior campaigns mounted by the hacking crew have leveraged malware families like Ares RAT and WarHawk, which are often attributed to SideCopy and SideWinder, respectively.

ArcticWolf's analysis of the latest attacks has uncovered the use of spear-phishing emails to deliver PDF lures and macro-enabled Excel documents to kick-start the infection chains. It described the threat actor as operating with moderate capability.

The PDF decoys contain URLs designed to lead victims to ClickOnce application manifests, which then deploy a legitimate Microsoft .NET runtime executable ("NGenTask.exe") and a malicious loader ("mscorsvc.dll"). The loader is launched using DLL side-loading to decrypt and execute a custom x64 shellcode implant codenamed BurrowShell.

"BurrowShell is a full-featured backdoor providing the threat actor with file system manipulation, screenshot capture capabilities, remote shell execution, and SOCKS proxy capabilities for network tunneling," Arctic Wolf said. "The implant masquerades its command-and-control (C2) traffic as Windows Update service communications and employs RC4 encryption with a 32-character key for payload protection."

The second attack chain employs Excel documents containing malicious macros to drop the keylogger malware, while also incorporating features to conduct port scanning and network enumeration.

Further investigation of the threat actor's infrastructure has identified 112 Cloudflare Workers domains registered during the one-year time period, marking an eight-fold jump from the 13 domains flagged by Cloudflare in September 2024.

The campaign's links to SloppyLemming are based on continued exploitation of Cloudflare Workers infrastructure with government-themed typo-squatting patterns, deployment of the Havoc C2 framework, DLL side-loading techniques, and victimology patterns.

It's worth noting that some aspects of the threat actor's tradecraft, including the use of ClickOnce-enabled execution, overlap with a recent SideWinder campaign documented by Trellix in October 2025.

"In particular, the targeting of Pakistani nuclear regulatory bodies, defense logistics organizations, and telecommunications infrastructure – alongside Bangladeshi energy utilities and financial institutions – aligns with intelligence collection priorities consistent with regional strategic competition in South Asia," Arctic Wolf said.

"The deployment of dual payloads – the in-memory shellcode BurrowShell for C2 and SOCKS proxy operations, and a Rust-based keylogger for information stealing – suggests the threat actor maintains flexibility to deploy appropriate tools based on target value and operational requirements."