Η απειλή αυτή, γνωστή με το ψευδώνυμο SloppyLemming — και με άλλες ονομασίες όπως Outrider Tiger και Fishing Elephant — έχει εντοπιστεί να δρα μεταξύ Ιανουαρίου 2025 και Ιανουαρίου 2026, πλήττοντας φορείς άμυνας, τηλεπικοινωνιών, ενέργειας, χρηματοπιστωτικούς οργανισμούς και άλλες κυβερνητικές υπηρεσίες.
Πώς λειτουργεί το SloppyLemming και τι το κάνει τόσο επικίνδυνο
Αυτό που κάνει την εν λόγω εκστρατεία ιδιαίτερα ανησυχητική δεν είναι μόνο ο αριθμός των θυμάτων, αλλά και η τεχνολογική «ευφυΐα» πίσω από τα εργαλεία και τις μεθόδους επίθεσης. Η ομάδα χρησιμοποιεί δύο ξεχωριστές αλυσίδες κακόβουλου λογισμικού: από τη μία ένα backdoor που επιτρέπει πλήρη πρόσβαση σε μολυσμένα συστήματα και από την άλλη μια κατασκοπευτική λειτουργία για κλοπή δεδομένων.
Το SloppyLemming ξεκινά τις επιθέσεις του μέσω spear-phishing emails — μηνύματα που μοιάζουν νόμιμα αλλά περιέχουν κακόβουλα συνημμένα PDF και Excel αρχεία. Όταν οι χρήστες ανοίγουν αυτά τα αρχεία, ξεκινά μια πολύπλοκη διαδικασία που τελικά εγκαθιστά malware στους υπολογιστές-στόχους.
Το πιο εξελιγμένο εργαλείο που χρησιμοποιείται σε αυτό το πλαίσιο ονομάζεται BurrowShell — ένα backdoor που μπορεί να χειρίζεται αρχεία, να τρέχει απομακρυσμένες εντολές, να καταγράφει στιγμιότυπα οθόνης και να δημιουργεί δικτυακές σήραγγες για μεταφορά δεδομένων. Το BurrowShell «καμουφλάρεται» ακόμα και ως νόμιμη υπηρεσία Windows Updates ώστε να αποφεύγει τα παραδοσιακά συστήματα ανίχνευσης.
Παράλληλα, η ομάδα χρησιμοποιεί ένα επιπλέον κακόβουλο εργαλείο γραμμένο στη γλώσσα Rust που λειτουργεί ως keylogger, δηλαδή καταγράφει τις κινήσεις και τις πληκτρολογήσεις των χρηστών, συλλέγοντας ευαίσθητες πληροφορίες και στοιχεία πρόσβασης.
Τα malware αυτά εγκαθίστανται μέσω τεχνικών όπως το DLL side-loading — όπου ένα νόμιμο εκτελέσιμο της Microsoft εκκινεί και «φορτώνει» τον κακόβουλο κώδικα — και μέσω εκτέλεσης εφαρμογών ClickOnce που παραπλανούν τα συστήματα ασφαλείας.
Ποιοι στόχοι έχουν ήδη επηρεαστεί; Η ευρύτερη εικόνα της επίθεσης
Οι φορείς που έχουν μπει στο στόχαστρο περιλαμβάνουν οργανισμούς υψηλού προφίλ τόσο στο Πακιστάν όσο και στο Μπαγκλαντές. Μεταξύ αυτών, βρίσκονται κρατικές υπηρεσίες άμυνας και στρατιωτικής υποστήριξης, ρυθμιστικές αρχές πυρηνικής ενέργειας, μεγάλοι τηλεπικοινωνιακοί πάροχοι, εταιρείες ενέργειας και τραπεζικοί οργανισμοί.
Η εκστρατεία εκμεταλλεύεται δυναμικά περίπου 112 Cloudflare Workers domains, δηλαδή υποτιθέμενες νόμιμες διαδικτυακές διευθύνσεις που λειτουργούν σαν μηχανισμός διανομής malware και επικοινωνίας με τα μολυσμένα συστήματα, προσδίδοντας ακόμα μεγαλύτερη φοβία και αποτελεσματικότητα στην επίθεση.
Αν και η εκστρατεία αυτή έχει μέχρι στιγμής εντοπιστεί κυρίως στην Νότια Ασία, η μέθοδος δράσης και τα εργαλεία που χρησιμοποιούνται δείχνουν ότι θα μπορούσαν να επαναχρησιμοποιηθούν με ευκολία σε άλλες περιοχές και άλλους στόχους, ακόμα και σε χώρες της Ευρώπης ή της Μέσης Ανατολής εάν οι επιτιθέμενοι αλλάξουν στόχευση.
Τι δείχνουν τα στοιχεία;
Αν και το SloppyLemming δεν έχει στοχοποιήσει την Ελλάδα ή την Ευρωπαϊκή Ένωση — τουλάχιστον όχι δημοσίως — η αυξημένη χρήση εξελιγμένων τεχνικών phishing, backdoors και σύγχρονων τρόπων κρυφής κίνησης μέσα σε δίκτυα καθιστά σαφές ότι οι κυβερνο-επιθέσεις δεν είναι πλέον «τυχαίες» αλλά στρατηγικά στοχευμένες.
Αυτό σημαίνει ότι οργανισμοί, δημόσιοι φορείς και επιχειρήσεις σε οποιοδήποτε μέρος του κόσμου πρέπει να ενισχύσουν την ασφάλειά τους με προηγμένα συστήματα ανίχνευσης, εκπαίδευση προσωπικού στην αναγνώριση phishing μηνυμάτων και διαρκή παρακολούθηση τυχόν μη φυσιολογικών συμπεριφορών στα συστήματα τους.
