SOC Prime Bias: Crítico

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

Técnicas de Ataque de SloppyLemming y Backdoor BurrowShell Explicado

Author Photo
SOC Prime Team linkedin icon Seguir
Técnicas de Ataque de SloppyLemming y Backdoor BurrowShell Explicado
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

SloppyLemming es un grupo de ciberespionaje que apunta a industrias críticas en el sur y este de Asia. El grupo se basa en spearphishing para entregar malware personalizado, incluyendo el backdoor BurrowShell y un keylogger basado en Rust. También hace un uso extensivo de Cloudflare Workers para apoyar la actividad de comando y control y operaciones de robo de credenciales.

Investigación

El informe describe una campaña de múltiples etapas que involucra macros maliciosas de Excel y portales de autenticación falsos. Los investigadores identificaron subdominios de Cloudflare creados para imitar entidades gubernamentales y analizaron el shellcode personalizado del grupo junto con sus capacidades de registro de teclas. La investigación también mostró cómo SloppyLemming evade el análisis estático mediante la resolución dinámica de API y cargas útiles cifradas con RC4.

Mitigación

Las organizaciones deben implementar un fuerte filtrado de correo electrónico para bloquear los archivos adjuntos maliciosos y los enlaces de phishing antes de su entrega. Los equipos de seguridad deben monitorear las modificaciones no autorizadas de Run keys y relaciones sospechosas de procesos padre-hijo, incluyendo NGenTask.exe cargando DLLs inesperados. La detección también debe cubrir tráfico inusual de Cloudflare Worker y cualquier signo de uso no autorizado de tokens OAuth.

Respuesta

Si se detecta esta actividad, aísle los sistemas afectados de inmediato para detener más exfiltración a través del canal de comando y control. Realice forense de memoria para recuperar el shellcode BurrowShell y determinar el alcance del compromiso. Restablezca las credenciales de cualquier cuenta que pueda haber sido expuesta a través del keylogger o la interceptación de OAuth, con atención especial a las cuentas de Google.

graph TB %% Definición de clases classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% Nodos de acceso inicial ia_spearphish_attach[«<b>Acción</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Hojas de cálculo Microsoft Excel maliciosas<br/>que contienen macros VBA.»] class ia_spearphish_attach initial_access ia_spearphish_link[«<b>Acción</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Portales de correo web falsificados<br/>o documentos PDF engañosos.»] class ia_spearphish_link initial_access %% Nodos de ejecución ex_vba_interpreter[«<b>Acción</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>Las macros ejecutan descargas y archivos maliciosos<br/>como audiodg.exe y sppc.dll.»] class ex_vba_interpreter execution %% Nodos de persistencia pe_registry_run[«<b>Acción</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>Se crea una entrada del registro disfrazada<br/>como OneDrive.»] class pe_registry_run persistence %% Nodos de evasión de defensas ev_api_hashing[«<b>Acción</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>La puerta trasera BurrowShell resuelve<br/>APIs de Windows mediante hashing.»] class ev_api_hashing evasion ev_rc4_encryption[«<b>Acción</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>El shellcode está oculto como un<br/>blob cifrado con RC4.»] class ev_rc4_encryption evasion ev_masquerading[«<b>Acción</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>Los archivos son renombrados como<br/>system32.dll o mscorsvc.dll.»] class ev_masquerading evasion ev_dll_hijack[«<b>Acción</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>Secuestro del flujo de ejecución mediante<br/>binarios legítimos como NGenTask.exe.»] class ev_dll_hijack evasion %% Nodos de acceso a credenciales ca_keylogger[«<b>Acción</b> – <b>T1056 Input Capture: Keylogging</b><br/>Keylogger basado en Rust captura<br/>teclas presionadas y tokens OAuth de Google.»] class ca_keylogger credential_access %% Nodos de descubrimiento di_sys_info[«<b>Acción</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell recopila información del sistema<br/>incluyendo nombre del equipo y usuario.»] class di_sys_info discovery %% Nodos de recopilación co_archive_data[«<b>Acción</b> – <b>T1560 Archive Collected Data</b><br/>Controladores web basados en Python recorren<br/>y descargan archivos adjuntos de correo electrónico.»] class co_archive_data collection %% Nodos de comando y control cc_web_protocols[«<b>Acción</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Comunicación HTTPS con infraestructura C2<br/>alojada en Cloudflare Workers.»] class cc_web_protocols command_control %% Nodos de exfiltración ex_c2_channel[«<b>Acción</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Envío de datos capturados, archivos<br/>y capturas de pantalla a los atacantes.»] class ex_c2_channel exfiltration %% Flujo del ataque ia_spearphish_attach –>|conduce_a| ex_vba_interpreter ia_spearphish_link –>|conduce_a| ex_vba_interpreter ex_vba_interpreter –>|establece| pe_registry_run ex_vba_interpreter –>|utiliza| ev_api_hashing ex_vba_interpreter –>|utiliza| ev_rc4_encryption ex_vba_interpreter –>|utiliza| ev_masquerading ex_vba_interpreter –>|utiliza| ev_dll_hijack ex_vba_interpreter –>|despliega| ca_keylogger ca_keylogger –>|activa| di_sys_info di_sys_info –>|precede| co_archive_data co_archive_data –>|se_comunica_mediante| cc_web_protocols cc_web_protocols –>|facilita| ex_c2_channel

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y pretenden generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa y Comandos de Ataque: Un adversario busca mantener la persistencia y ejecutar código de manera encubierta. Intentan secuestrar el audiodg.exe flujo de proceso pasando mscorsvc.dll como argumento, una técnica conocida de SloppyLemming. Para complicar aún más la detección, también pueden intentar enmascarar su presencia nombrando un proceso malicioso secundario OneDrive.exe en la cadena de comandos. El objetivo es activar la regla de detección sincronizando la combinación específica de audiodg.exe y el DLL sospechoso o el nombre enmascarado.

  • Script de Prueba de Regresión:

    # Script de Simulación: Emulación del TTP de SloppyLemming
# Escenario 1: Secuestro de audiodg.exe con mscorsvc.dll
Write-Host "[+] Simulando secuestro de audiodg.exe con mscorsvc.dll..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# Escenario 2: Mascaramiento a través de OneDrive.exe en la línea de comandos
Write-Host "[+] Simulando la ejecución de audiodg.exe con OneDrive.exe enmascarado..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • Comandos de Limpieza:

    # Limpieza: No se crean artefactos permanentes con los comandos cmd /c,
# pero aseguramos que no existan procesos sospechosos residuales.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis