Porta dos fundos LOTUSLITE
Pesquisadores de segurança descobriram uma sofisticada campanha de malware direcionada a instituições governamentais e políticas dos EUA, utilizando temas políticos atuais para atrair vítimas. Os agentes da ameaça incorporaram um arquivo ZIP intitulado "US now decided what's next for Venezuela.zip" em mensagens de spear-phishing elaboradas para atrair destinatários preocupados com os recentes acontecimentos entre EUA e Venezuela. Se aberto, esse arquivo instala um backdoor conhecido como LOTUSLITE por meio de sideloading de DLL, um método que utiliza aplicativos legítimos para ocultar payloads maliciosos e evitar a detecção. Ainda não se sabe se alguma das vítimas pretendidas foi comprometida com sucesso.
A campanha foi atribuída, com um grau moderado de certeza, ao grupo chinês de ciberespionagem Mustang Panda, ligado ao Estado. Essa atribuição baseia-se em abordagens táticas e infraestruturas semelhantes, previamente associadas a esse grupo, conhecido por direcionar ataques com motivação política e por priorizar a instalação de software por meio de sideloading em vez do acesso inicial baseado em exploits.
Índice
Mecanismo de Entrega e Execução
O arquivo ZIP malicioso contém um executável falso e uma biblioteca de vínculo dinâmico (DLL) que é executada por meio de carregamento lateral de DLL, um fluxo de execução confiável no qual um processo legítimo carrega inadvertidamente uma biblioteca maliciosa. O grupo Mustang Panda tem usado essa técnica consistentemente em operações anteriores, incluindo a distribuição de backdoors como o TONESHELL.
Uma vez executada, a DLL implantada (chamada kugou.dll) funciona como uma porta dos fundos personalizada em C++, projetada para tarefas de espionagem. O LOTUSLITE estabelece conexão com seu servidor de Comando e Controle (C2) embutido no código, utilizando a API WinHTTP do Windows, permitindo comandos remotos e extração de dados.
Capacidades de backdoor
O LOTUSLITE oferece suporte a um conjunto de operações essenciais que facilitam o controle e o reconhecimento remotos. Estas incluem:
- Execução remota de comandos através da criação e controle de um shell CMD
- Interações com o sistema de arquivos, como enumeração de diretórios, criação de arquivos e anexação de dados.
- Gerenciamento do status do beacon, que controla a comunicação com o C2.
Segue abaixo o conjunto completo de comandos suportados pelo LOTUSLITE:
- 0x0A: Iniciar shell de comando remoto
- 0x0B: Encerrar shell remoto
- 0x01: Enviar comandos através do shell
- 0x06: Redefinir estado do beacon
- 0x03: Enumerar arquivos
- 0x0D: Criar arquivo vazio
- 0x0E: Anexar dados ao arquivo
- 0x0F: Recuperar o estado do beacon
O LOTUSLITE também garante a persistência alterando as configurações do Registro do Windows para que seja executado automaticamente a cada login do usuário.
Traços comportamentais e foco operacional
Analistas de segurança observaram que o LOTUSLITE apresenta similaridades comportamentais com ferramentas anteriores utilizadas pelo Mustang Panda, como o Claimloader, notadamente incorporando sequências de mensagens provocativas que dão suporte a esforços de engenharia social. O Claimloader, por sua vez, é um carregador de DLL usado para implantar outros payloads do Mustang Panda, como o PUBLOAD, em campanhas anteriores.
Esta operação destaca uma tendência mais ampla no spear-phishing direcionado: em vez de depender de exploits complexos de dia zero, grupos de ameaças persistentes avançadas (APTs) frequentemente obtêm acesso por meio de iscas socialmente relevantes combinadas com métodos de execução bem testados, como o sideloading de DLLs. Embora o LOTUSLITE não possua recursos de evasão altamente avançados, suas capacidades de comando e controle diretas e seu fluxo de execução confiável o tornam uma ferramenta prática para espionagem de longo prazo.
A campanha demonstra que mesmo técnicas simples e familiares podem continuar sendo eficazes quando combinadas com segmentação inteligente e atrativos contextualmente relevantes, especialmente contra redes institucionais de alto valor.
