SloppyLemming Serang Pemerintah Pakistan dan Bangladesh dengan Malware Ganda

Kelompok ancaman siber SloppyLemming kembali menjadi sorotan setelah menyerang pemerintah dan operator infrastruktur kritis di Pakistan dan Bangladesh dengan menggunakan dua rantai serangan malware yang berbeda sepanjang Januari 2025 hingga Januari 2026.

Serangan Malware Ganda dengan BurrowShell dan Keylogger Berbasis Rust

Menurut laporan dari perusahaan keamanan siber Arctic Wolf, SloppyLemming menggunakan dua jenis malware utama yakni BurrowShell, sebuah backdoor canggih berbasis shellcode, dan keylogger yang dikembangkan dengan bahasa pemrograman Rust.

"Penggunaan bahasa Rust menandai evolusi signifikan dalam alat yang digunakan SloppyLemming, sebelumnya kelompok ini hanya memakai bahasa kompilasi tradisional dan framework simulasi adversary seperti Cobalt Strike, Havoc, serta RAT kustom NekroWire," jelas Arctic Wolf dalam laporannya.

Kelompok ini dikenal menargetkan instansi pemerintah, penegak hukum, sektor energi, telekomunikasi, dan teknologi di kawasan Asia Selatan dan Tiongkok sejak 2022, dengan nama lain seperti Outrider Tiger dan Fishing Elephant.

Taktik Phishing dan Teknik Penyebaran Malware

Analisis Arctic Wolf menunjukkan bahwa SloppyLemming mengandalkan email spear-phishing yang menyisipkan lure berupa file PDF dan dokumen Excel dengan makro berbahaya untuk memulai rantai infeksi.

PDF tersebut mengarahkan korban ke tautan ClickOnce yang kemudian meluncurkan aplikasi Microsoft .NET resmi ("NGenTask.exe") bersama dengan loader jahat bernama "mscorsvc.dll" melalui teknik DLL side-loading. Loader ini bertugas mendekripsi dan menjalankan shellcode BurrowShell.

"BurrowShell adalah backdoor lengkap yang memungkinkan manipulasi sistem file, pengambilan tangkapan layar, eksekusi shell jarak jauh, dan fungsi proxy SOCKS untuk tunneling jaringan," kata Arctic Wolf. "Lalu lintas command-and-control (C2) disamarkan sebagai komunikasi layanan Windows Update dan payload dilindungi dengan enkripsi RC4 menggunakan kunci 32 karakter."

Rantai serangan kedua memakai dokumen Excel dengan makro jahat yang menjatuhkan malware keylogger, serta menambahkan kemampuan pemindaian port dan enumerasi jaringan.

Infrastruktur dan Skala Serangan yang Meningkat

Investigasi lebih lanjut mengungkapkan bahwa selama satu tahun terakhir, SloppyLemming mendaftarkan 112 domain Cloudflare Workers, naik delapan kali lipat dibandingkan 13 domain yang teridentifikasi pada September 2024.

Penggunaan infrastruktur Cloudflare yang luas dan pola typo-squatting nama domain bertema pemerintahan, serta teknik seperti penggunaan framework Havoc untuk C2 dan DLL side-loading, memperkuat keterkaitan kampanye ini dengan SloppyLemming.

Beberapa metode seperti eksekusi berbasis ClickOnce juga tumpang tindih dengan kampanye SideWinder yang baru-baru ini didokumentasikan oleh Trellix pada Oktober 2025.

Target Strategis dan Implikasi Regional

Arctic Wolf mencatat bahwa target serangan mencakup badan pengatur nuklir, organisasi logistik pertahanan, dan infrastruktur telekomunikasi di Pakistan, serta utilitas energi dan institusi keuangan di Bangladesh. Hal ini mencerminkan prioritas pengumpulan intelijen terkait persaingan strategis di Asia Selatan.

Penggunaan dua jenis payload yang berbeda — BurrowShell sebagai shellcode in-memory untuk operasi C2 dan proxy SOCKS, serta keylogger berbasis Rust untuk pencurian informasi — menunjukkan fleksibilitas SloppyLemming dalam menyesuaikan alat sesuai nilai target dan kebutuhan operasional.

Analisis Redaksi

Menurut pandangan redaksi, serangan SloppyLemming ini menandai eskalasi signifikan dalam ancaman siber yang menargetkan infrastruktur vital di Asia Selatan. Penggunaan teknologi mutakhir seperti Rust dan teknik penyamaran lalu lintas C2 menunjukkan peningkatan kemampuan teknis aktor ini, yang berpotensi menyulitkan upaya deteksi dan mitigasi.

Lebih jauh, lonjakan pendaftaran domain Cloudflare Workers menunjukkan kesiapan infrastruktur yang sangat besar untuk mendukung operasi jangka panjang dan berkelanjutan. Ini bukan hanya serangan sesaat, melainkan kampanye intelijen siber yang terorganisir dan dirancang dengan matang.

Penting bagi pemerintah dan operator infrastruktur kritis di kawasan untuk meningkatkan pengawasan dan pertahanan siber, khususnya terhadap serangan phishing yang semakin canggih. Ke depan, kita harus waspada terhadap kemungkinan serangan lanjutan yang dapat mengganggu stabilitas keamanan nasional dan regional.

Ikuti terus update terbaru mengenai ancaman siber dan keamanan digital untuk melindungi data serta sistem penting Anda.