【安全资讯】疑似印度背景的间谍活动瞄准南亚多国关键部门

概要：

网络安全领域再现复杂的国家背景网络间谍活动。据安全公司Arctic Wolf披露，一个疑似与印度有关的威胁组织在2025年对巴基斯坦、孟加拉国和斯里兰卡的政府机构与关键基础设施运营商发起长达一年的持续性攻击。此次行动凸显了地缘政治紧张局势向网络空间的延伸，对地区国家安全构成严峻挑战。

主要内容：

该活动被研究人员追踪为SloppyLemming，其攻击始于2025年1月，采用了两种主要攻击向量。一是投递携带BurrowShell后门恶意软件的PDF文档，该后门允许攻击者截图并操控文件系统。二是发送含有具备键盘记录和侦察功能的恶意Excel文档。攻击链展示了攻击者对防御规避技术和Windows内部机制的了解，但其暴露的开放目录等操作安全失误也体现了其能力的不一致性。

攻击者注册了112个Cloudflare域名用于托管恶意软件，这些域名仿冒了巴基斯坦和孟加拉国政府机构名称，旨在诱骗受害者。攻击目标极具战略性，包括巴基斯坦核监管局、国防后勤组织、海军以及能源和电信公司，同时孟加拉国的能源公用事业公司和金融机构也未能幸免。

攻击通常始于鱼叉式网络钓鱼邮件。当受害者打开恶意文档时，会看到内容被模糊处理，并显示“PDF阅读器已禁用”的提示，诱使受害者执行进一步操作从而激活恶意代码。植入的恶意软件功能全面，包括键盘记录、持久化驻留、网络扫描和屏幕截图等。该组织的活动至少可追溯至2021年，其目标与印度政府的利益关切高度吻合。