Un grup de hackeri suspectat de aliniere la India a desfășurat o amplă campanie de spionaj cibernetic împotriva agențiilor guvernamentale și infrastructurii critice din Asia de Sud în ultimul an, utilizând instrumente malware noi pentru a infiltra organizații de apărare, autorități de reglementare nucleară și furnizori de telecomunicații, potrivit unei noi cercetări publicate în această săptămână.
Arctic Wolf, firma de securitate cibernetică, a dezvăluit la 1 martie că actorul de amenințare cunoscut sub numele de SloppyLemming — urmărit și sub denumirea Outrider Tiger de către CrowdStrike — a desfășurat campania între ianuarie 2025 și ianuarie 2026, vizând în principal entități din Pakistan și Bangladesh. Sri Lanka a apărut ca o țintă secundară, cu activitate direcționată împotriva organizațiilor legate de apărare de acolo.
Ținte din domeniile nuclear și apărare
Amploarea campaniei subliniază diversitatea priorităților de colectare de informații atribuite grupului. Sectoarele vizate includ Marina Pakistaneză, Corporația Națională de Logistică, organisme de reglementare nucleară inclusiv Autoritatea de Reglementare Nucleară a Pakistanului, și furnizori de telecomunicații precum SCO și PTCL. În Bangladesh, grupul a vizat utilități energetice inclusiv DESCO și PGCB, precum și instituții financiare.
„Vizarea organismelor de reglementare nucleară pakistaneze, a organizațiilor de logistică de apărare și a infrastructurii de telecomunicații — alături de utilități energetice și instituții financiare din Bangladesh — este în concordanță cu prioritățile de colectare de informații specifice competiției strategice regionale din Asia de Sud”, a declarat Arctic Wolf în raportul său.
Set de instrumente în evoluție
Campania a utilizat 112 domenii unice de Cloudflare Workers care au personificat entități guvernamentale din Pakistan și Bangladesh pentru a livra încărcături utile și a gestiona comunicațiile de comandă și control. Au fost observate două vectori principali de atac, ambii inițiați prin spear-phishing: documente PDF cu URL-uri malițioase încorporate care conduceau la fișiere de aplicații ClickOnce și foi de calcul Excel cu macrocomenzi care descărcau direct binare malițioase.
Arctic Wolf a remarcat o evoluție cheie în capacitățile grupului — utilizarea de malware bazat pe Rust alături de framework-ul de comandă și control Havoc și instrumente precum Cobalt Strike care anterior caracterizaseră operațiunile grupului. „Utilizarea limbajului de programare Rust reprezintă o evoluție notabilă în instrumentarul SloppyLemming”, a declarat compania într-un raport distribuit către The Hacker News.
Context geopolitic mai larg
Descoperirile se bazează pe cercetări anterioare efectuate de echipa CloudForce One a Cloudflare, care a documentat pentru prima dată operațiunile SloppyLemming în septembrie 2024. Grupul este activ cel puțin din 2021, conform evaluării CrowdStrike citată în materialul publicat de Politico.
Campania se încadrează într-un tipar mai amplu de confruntări cibernetice în subcontinent. India și Pakistan au efectuat lovituri cu rachete în mai 2025 — cea mai gravă escaladare dintre cele două state cu armament nuclear de peste câteva decenii — iar operațiunile cibernetice au crescut în paralel, comunitățile hacktiviste de ambele părți lansând atacuri perturbatoare, în timp ce grupurile legate de stat au vizat obiective de spionaj. O analiză din noiembrie 2025 realizată de Stimson Center a remarcat că capabilitățile cibernetice și de inteligență artificială sunt acum integrate în operațiunile militare din regiune, ridicând îngrijorări cu privire la stabilitatea strategică.
Arctic Wolf a îndemnat organizațiile din sectoarele vizate să „se considere potențiale ținte și să implementeze măsurile defensive adecvate”.
Surse:
https://www.politico.com/newsletters/weekly-cybersecurity/2026/03/02/the-cyber-war-in-iran-00806706
India-Pakistan Cyber Skirmishes and the Challenge of Attribution
SloppyLemming espionage surge hitting defense, telecom, energy and finance in Pakistan and Bangladesh