Um grupo avançado de cibercriminosos com ligações à Índia foi identificado utilizando serviços de nuvem para realizar ataques de espionagem em entidades do sul e sudeste da Ásia. A empresa de infraestrutura web e segurança Cloudflare, que está monitorando a atividade, nomeou o grupo como “SloppyLemming”. Entre os alvos das campanhas estão órgãos governamentais, empresas de telecomunicações e setores de tecnologia de países como Paquistão, Sri Lanka, Bangladesh, China, Nepal e Indonésia.
O SloppyLemming, também conhecido como “Outrider Tiger” e “Fishing Elephant”, está ativo desde pelo menos julho de 2021. Suas campanhas anteriores utilizaram malwares como Ares RAT e WarHawk, que já foram vinculados a outros grupos de hackers, como SideWinder e SideCopy. Esses grupos também são conhecidos por suas ligações com atividades cibernéticas do Paquistão. A principal técnica usada pelo SloppyLemming é o envio de e-mails de spear-phishing, nos quais os destinatários são induzidos a clicar em links maliciosos com mensagens urgentes, como a necessidade de completar processos obrigatórios.
Quando clicados, esses links direcionam as vítimas para páginas falsas de coleta de credenciais, permitindo aos hackers o acesso não autorizado às contas de e-mail de interesse. Os ataques mais recentes incluem o uso de uma ferramenta personalizada chamada “CloudPhish”, que cria scripts maliciosos em servidores Cloudflare para registrar e enviar as credenciais roubadas aos cibercriminosos. Isso foi combinado com ataques utilizando o malware Ares RAT, que compromete a segurança dos sistemas alvo e oferece controle remoto aos invasores.
Além disso, foram detectadas campanhas que exploram vulnerabilidades do WinRAR, usando arquivos comprimidos como isca para a execução de código malicioso. A Cloudflare também revelou que o grupo tem utilizado documentos falsos que se apresentam como arquivos legítimos, mas que, na realidade, ativam malwares ao serem abertos pelos destinatários.