No abras estos archivos PDF: esconden una puerta trasera que espía tu pantalla
Casi imposible distinguir archivos útiles de virus.
En el último año en el sur de Asia ha aumentado notablemente el número de ataques de espionaje contra estructuras estatales y operadores de infraestructuras críticas. El equipo de Arctic Wolf describió una campaña que se asocia con moderada confianza al grupo SloppyLemming, también conocido como Outrider Tiger y Fishing Elephant. Las víctimas fueron organizaciones en Pakistán y Bangladés, y la operación, según los autores del informe, duró al menos desde enero de 2025 hasta enero de 2026 y estuvo acompañada por la expansión de la infraestructura y del conjunto de herramientas.
La campaña empleó dos cadenas de infección diferentes. La primera comenzaba con correos de phishing con un señuelo en PDF. El documento inducía a seguir un enlace que conducía a un manifiesto ClickOnce. Luego se descargaba en el equipo un conjunto de archivos para DLL Sideloading: un ejecutable legítimo del Microsoft .NET Framework NGenTask.exe, disfrazado como OneDrive.exe, y la biblioteca maliciosa mscorsvc.dll. El cargador descifraba con una clave RC4 un bloque de datos cifrado y ejecutaba en memoria el implante x64 BurrowShell.
BurrowShell funcionaba como una plataforma de puerta trasera completa. El implante soportaba operaciones con archivos, capturas de pantalla, ejecución remota de comandos y proxy a través de SOCKS para tunelizar tráfico. Las comunicaciones con la infraestructura de control se camuflaban como solicitudes del servicio de actualizaciones de Windows, y la carga útil se protegía con cifrado simétrico.
La segunda cadena utilizó archivos de Excel con macros. La macro descargaba componentes en el directorio ProgramData y ejecutaba un ejecutable legítimo llamado phoneactivate.exe, renombrado como audiodg.exe, que cargaba la DLL maliciosa vecina. La carga principal fue un troyano de acceso remoto con registrador de teclas, escrito en Rust. Además de capturar pulsaciones, el módulo realizaba reconocimiento de la red, incluyendo escaneo de puertos y enumeración de hosts, y también soportaba comandos para trabajar con archivos y ejecutar procesos.
Arctic Wolf dedicó atención particular a la infraestructura. Durante el periodo analizado se encontraron 112 dominios en Cloudflare Workers que imitaban a organizaciones estatales y sectoriales de Pakistán y Bangladés. El pico de registros se produjo en julio de 2025, cuando aparecieron 42 dominios. Tres nodos resultaron estar configurados como directorios abiertos, por lo que se filtraron públicamente componentes preparados del malware, incluidos cargadores del framework Havoc con claves RC4 diferentes.
Según el informe, la selección de objetivos encaja en una lógica de espionaje. En Pakistán mostraron interés por estructuras relacionadas con la defensa, las telecomunicaciones y la regulación nuclear; en Bangladés, por la energía y el sector financiero. Los autores también consideraron intersecciones con las tácticas de SideWinder, pero señalaron diferencias en las herramientas y en los indicios infraestructurales.