Ранее в ноябре мы сообщали об обнаружении BlackBerry кампании кибершпионажа, нацеленной на ВМС Пакистана, в ходе которой использовались вредоносные PDF для сбора учетных данных и развертывания вредоносного ПО (один из штаммов Sync-Scheduler). На тот момент BlackBerry не смогла атрибутировать атаки к конкретному субъекту, однако последующий анализ исследователей DomainTools выявил значительные совпадения в TTPs и устремлениях с индийской APT, известной как SloppyLemming (aka OUTRIDER TIGER). Группа, в первую очередь, нацелена на Пакистан, уделяя особое внимание таким целям, как правительственный сектор и оборона. SloppyLemming часто использует свой собственный инструмент регистрации учетных данных CloudPhish на доменах Cloudflare Worker для компрометации учетных данных электронной почты целевых лиц. Одним из почтовых клиентов, на которые нацеливался CloudPhish, как раз и быле мы сообщалитот самый почтовый клиент, упомянутый во вредоносной активности, описанной в отчете BlackBerry. SloppyLemming также использовала PDF-документы для сбора учетных данных и доставки вредоносного ПО. Правда, как отмечают в DomainTools, заключения о причастности SloppyLemming к атакам на ВМС Пакистана имеют низкую степень уверенности. Также не исключается версия, что за кампанией может стоять подгруппа указанной APT.