HackerNews 编译，转载请注明出处：

网络安全公司Arctic Wolf周一披露，去年一场针对巴基斯坦、孟加拉国和斯里兰卡政府机构及关键基础设施运营商的间谍活动，被归因于一个名为"SloppyLemming"的印度关联威胁组织。这是Cloudflare 2024年9月所识别威胁活动的扩展。

该活动自2025年1月起持续一年，采用两种攻击方式：一是投递含BurrowShell恶意软件的PDF文件——该后门程序可截屏并操控文件系统；二是发送携带具备键盘记录与侦察功能恶意软件的Excel文档。

研究人员指出，该组织技术能力中等：多阶段执行链显示其掌握防御规避技术并熟悉Windows内部机制，但开放目录暴露等运营安全漏洞表明其手法不及更严谨的对手。这与组织名称中的"Sloppy（ sloppy 意为 sloppy/ sloppy ）"相符，指其历史上不稳定的运营安全。

攻击者使用去年注册的112个Cloudflare域名托管恶意软件，域名采用巴基斯坦和孟加拉国政府主题名称以诱骗受害者。

事件响应人员确认，活动目标包括巴基斯坦核监管局等核监管机构、国防后勤组织及电信基础设施，以及孟加拉国能源公用事业和金融机构。巴基斯坦海军、国家后勤公司、DESCON电力公司、孟加拉国电网公司，以及特殊通信组织和巴基斯坦电信公司均在目标之列。

研究人员称，SloppyLemming自2021年起持续实施网络间谍攻击，其目标与印度政府利益一致。

...

HackerNews 编译，转载请注明出处：

一个与巴基斯坦有关联的威胁行为体被发现针对印度政府实体发起鱼叉式网络钓鱼攻击，旨在投递一种基于Golang的恶意软件，名为DeskRAT。

Sekoia在2025年8月和9月观测到此次活动，并将其归因于Transparent Tribe（又名APT36），这是一个至少自2013年以来就活跃的由国家资助的黑客组织。此次攻击也建立在CYFIRMA于2025年8月披露的先前活动之上。

攻击链涉及发送包含ZIP文件附件的网络钓鱼邮件，或者在某些情况下，发送指向托管在Google Drive等合法云服务上的存档文件的链接。ZIP文件中包含一个恶意的Desktop文件，该文件嵌入了使用Mozilla Firefox显示诱饵PDF（"CDS_Directive_Armed_Forces.pdf"）的命令，同时执行主有效载荷。

这两个组件都从一个名为"modgovindia[.]com"的外部服务器拉取并执行。与之前一样，该活动旨在针对BOSS Linux系统，其远程访问木马能够使用WebSocket建立命令与控制。

该恶意软件支持四种不同的持久化方法，包括创建systemd服务、设置cron作业、将恶意软件添加到Linux自动启动目录以及配置.bashrc通过写入特定目录的shell脚本启动木马。

DeskRAT支持五种不同的命令：

...

HackerNews 编译，转载请注明出处：

知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。

...

HackerNews 编译，转载请注明出处：

近几周，针对印度数字基础设施的黑客活动分子攻击声明引发广泛担忧——在印度与巴基斯坦的地缘政治紧张局势下，政府、教育及关键行业领域据称发生超100起入侵事件。

...

HackerNews 编译，转载请注明出处：

...

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。

...

一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度政府机构。

...