كشفت تحقيقات أمنية عن حملة تجسس واسعة النطاق تستهدف جهات حكومية ودفاعية وشركات بنى تحتية حيوية في باكستان وبنغلاديش، تقف وراءها مجموعة تعرف باسم “SloppyLemming”. يأتي الكشف عن هذه الأنشطة في وقت يشهد فيه المشهد السيبراني العالمي تزايداً في الهجمات المعقدة.
بدأت هذه الحملة، التي يُعتقد أنها مدعومة من جهات مرتبطة بالهند، منذ عام 2021، وتتبع أيضاً تحت مسميات مثل “Outrider Tiger” و”Fishing Elephant”. وقد استخدمت المجموعة خلال الفترة بين يناير 2025 ويناير 2026 أدوات برمجية جديدة وموثقة، شملت برمجية خبيثة مخصصة تُعرف باسم “BurrowShell”، بالإضافة إلى حصان طروادة وصول عن بعد مبني بلغة Rust ومجهز بقدرات تسجيل ضربات المفاتيح.
حملة SloppyLemming تستهدف القارة الهندية بأدوات متطورة
تضمنت الحملة مسارين منفصلين للهجوم، وكلاهما يعتمد على تقنية التصيد الاحتيالي الموجه (spear-phishing). المسار الأول استهدف الضحايا من خلال مستندات PDF وهمية تحتوي على صفحة غير واضحة وزر “تنزيل الملف” مزيف. يؤدي النقر على هذا الزر إلى إعادة توجيه الضحية إلى تطبيق ClickOnce، والذي يقوم بدوره بتنزيل سلسلة برمجيات خبيثة متعددة المراحل بشكل صامت على الجهاز المصاب.
أما المسار الثاني، فقد اعتمد على جداول بيانات Excel التي تمكنت من تفعيل وحدات الماكرو. بمجرد فتح هذه الملفات، كانت تقوم بتحميل وتنفيذ شحنات خبيثة من خوادم يتحكم بها المهاجمون، وذلك دون علم المستخدم.
وقد حدد محللو شركة Arctic Wolf كلا المسارين الهجوميين كجزء من عملية منسقة واحدة. تجدر الإشارة إلى أن كلتا الطريقتين تعتمدان على تقنية اختطاف ترتيب البحث عن ملفات DLL لتنفيذ الشيفرات الخبيثة من خلال عمليات Microsoft الموثوقة.
من خلال وضع ملفات DLL مزيفة بجوار ملفات Microsoft الأصلية الموقعة رقمياً، تمكن المهاجمون من تشغيل أدواتهم ضمن عمليات يعتبرها برنامج الأمان عادةً آمنة، مما يزيد من صعوبة اكتشافها.
بنية تحتية متنامية لدعم الهجمات
كانت البنية التحتية التي تدعم حملة SloppyLemming كبيرة ومتنامية. فقد تعقبت أبحاث Arctic Wolf وجود 112 نطاقًا فرعيًا فريدًا مسجلاً ضمن خدمة Cloudflare Workers بين يناير 2025 ويناير 2026، وهو ما يمثل زيادة بمقدار ثمانية أضعاف مقارنة بـ 13 نطاقًا تم توثيقها في تقارير سابقة.
تم تسمية كل نطاق بطريقة تحاكي كيانات حكومية حقيقية، بما في ذلك الهيئة التنظيمية للطاقة النووية الباكستانية، والبحرية الباكستانية، وشركة دكا لتوريد الكهرباء، وبنك بنغلاديش. بلغت ذروة تسجيل النطاقات في يوليو 2025، حيث تمت إضافة 42 نطاقًا جديدًا في شهر واحد.
شملت القطاعات المستهدفة في باكستان الرقابة النووية، والخدمات اللوجستية للدفاع، والاتصالات، والإدارة الحكومية. وفي بنغلاديش، ركزت المجموعة على مرافق الطاقة، والمؤسسات المالية، ووسائل الإعلام. يتماشى هذا النمط مع أولويات جمع المعلومات الاستخباراتية المرتبطة بالتنافس الإقليمي في جنوب آسيا.
يعكس استمرار الحملة لمدة عام، مع توسع البنية التحتية، وجود نية منظمة وطويلة الأجل لدى المجموعة.
داخل سلسلة عدوى BurrowShell
تُعد BurrowShell عبارة عن برمجية خبيثة يتم حقنها في الذاكرة، ويتم تسليمها عبر سلسلة هجوم ClickOnce. تبدأ العدوى عندما يتم استدعاء برنامج تحميل خبيث (mscorsvc.dll) بواسطة ملف .NET مُعاد تسميته (NGenTask.exe)، والذي يتم تسليمه كـ (OneDrive.exe) ووضعه في نفس المجلد.
قبل تنفيذ أي حمولة، يقوم برنامج التحميل بالتحقق مما إذا كانت العملية الأصلية تعمل من دليل معتمد. إذا فشل هذا التحقق، فإن البرمجية الخبيثة تتوقف فوراً لمنع تنفيذها داخل بيئات التحليل المعزولة (sandboxes).
إذا نجح التحقق من الموقع، يقوم برنامج التحميل بإنشاء إدخال في سجل النظام (registry) ضمن HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun، مما يضمن تشغيل OneDrive.exe عند كل إعادة تشغيل، وبالتالي الحفاظ على استمرارية العدوى.
بعد ذلك، يقرأ البرنامج ملفاً مشفراً بـ RC4 يسمى system32.dll، ثم يقوم بفك تشفيره باستخدام مفتاح ثابت مكون من 32 حرفًا، مما يؤدي إلى إطلاق BurrowShell في الذاكرة. ونظراً لأن الشفرة الخبيثة لا تصل أبداً إلى القرص كملف مستقل، فإن أدوات فحص الملفات تكون أقل عرضة لاكتشافها.
بمجرد أن تصبح نشطة، تتصل BurrowShell بخادم القيادة والتحكم الخاص بها عبر المنفذ 443، وتموه حركة مرور البيانات الخاصة بها كحركة مرور لتحديثات Windows. بعد تسجيل المضيف المصاب بتفاصيل النظام، تدخل في حلقة مستمرة من فحوصات القلب (heartbeat check-ins) أثناء انتظار الأوامر.
يدعم هذا الغرس خمسة عشر أمراً، بما في ذلك عمليات الملفات، والتقاط لقطات الشاشة، وتنفيذ الأوامر، وإنشاء نفق وكيل SOCKS. ويقوم المسجل الذي يعتمد على Rust، والذي يتم توزيعه عبر مسار وحدات الماكرو في Excel، بتوسيع هذه القدرات من خلال تسجيل ضربات المفاتيح، ومسح المنافذ، وتعداد الشبكة.
يجب على المنظمات في القطاعات الحكومية والدفاعية والبنية التحتية الحيوية اتخاذ خطوات دفاعية محددة. يجب على أدوات أمان البريد الإلكتروني منع ملفات PDF التي تحتوي على روابط URL مضمنة تشير إلى نطاقات فرعية لـ Cloudflare Workers، ويجب تعطيل تنفيذ وحدات الماكرو في مستندات Office المستلمة من مصادر خارجية.
يجب على فرق الشبكات مراقبة الاتصالات بالنطاقات التي تنتهي بـ *.workers.dev وتمكين فحص SSL/TLS لحركة المرور المشفرة إلى وجهات مشبوهة. يجب أن تضع قواعد الجهاز نقاط النهاية علامة على [emailprotected] أو [email protected] التي تقوم بتحميل ملفات DLL من مسارات غير قياسية، وتنبيه عند وجود إدخالات سجل غير متوقعة في CurrentVersionRun.
يعد التدريب المنتظم على الوعي الأمني أمراً بالغ الأهمية، حيث يعتمد كلا المسارين الهجوميين على اتخاذ الضحية إجراءً متعمدًا، سواء كان ذلك النقر على زر أو تمكين وحدات الماكرو.