LOTUSLITE Bakdörr

Säkerhetsforskare har avslöjat en sofistikerad kampanj med skadlig kod riktad mot amerikanska myndigheter och politiska institutioner, med aktuella politiska teman för att locka offer. Hotaktörerna bäddade in ett ZIP-arkiv med titeln "USA decimerar nu vad som händer härnäst för Venezuela.zip" i spear-phishing-meddelanden som var utformade för att tilltala mottagare som är oroade över den senaste utvecklingen mellan USA och Venezuela. Om arkivet öppnas levererar det en bakdörr som kallas LOTUSLITE via DLL-sidoladdning, en metod som utnyttjar legitima applikationer för att dölja skadliga nyttolaster och undvika upptäckt. Det är fortfarande oklart om något av de avsedda offren lyckades komprometteras.

Kampanjen har med måttlig säkerhet tillskrivits den statskopplade kinesiska cyberspionagegruppen Mustang Panda. Denna tillskrivning baseras på överlappande taktiska tillvägagångssätt och infrastrukturella fotavtryck som tidigare kopplats till denna grupp, välkänd för politiskt driven målinriktning och för att föredra sidoinläsning framför exploateringsbaserad initial åtkomst.

Leverans- och utförandemekanism

Den skadliga ZIP-filen innehåller en körbar fil med avledningsmanöver och ett dynamiskt länkbibliotek som startas genom sidladdning av DLL, ett tillförlitligt körningsflöde där en godartad process oavsiktligt laddar ett skadligt bibliotek. Mustang Panda har konsekvent använt denna teknik i tidigare operationer, inklusive att pusha bakdörrar som TONESHELL.

När den har körts fungerar den implanterade DLL-filen (med namnet kugou.dll) som en anpassad C++-bakdörr konstruerad för spionageuppgifter. LOTUSLITE upprättar en anslutning till sin hårdkodade Command-and-Control (C2)-server genom att utnyttja Windows WinHTTP API, vilket möjliggör fjärrkommandon och datautvinning.

Bakdörrsfunktioner

LOTUSLITE stöder en uppsättning kärnfunktioner som underlättar fjärrstyrning och rekognoscering. Dessa inkluderar:

• Fjärrkommandokörning via spawning och kontroll av ett CMD-skal
• Filsysteminteraktioner, såsom kataloguppräkning, filskapande och datatillägg
• Hantering av beaconstatus, som styr kommunikationen med C2

Här är den kompletta kommandouppsättningen som stöds av LOTUSLITE:

• 0x0A: Initiera fjärrstyrt CMD-skal
• 0x0B: Avsluta fjärrgränssnittet
• 0x01: Skicka kommandon via skalet
• 0x06: Återställ beacon-status
• 0x03: Räkna upp filer

• 0x0D: Skapa tom fil

• 0x0E: Lägg till data i filen

• 0x0F: Hämta beacon-status

LOTUSLITE säkerställer också beständighet genom att ändra Windows-registerinställningarna så att det körs automatiskt vid varje användarinloggning.

Beteendeegenskaper och operativt fokus

Säkerhetsanalytiker observerade att LOTUSLITE uppvisar beteendemässiga likheter med tidigare verktyg som använts av Mustang Panda, såsom Claimloader, särskilt genom att bädda in provokativa meddelandesträngar som stöder social ingenjörskonst. Claimloader är i sig en DLL-laddare som används för att distribuera andra Mustang Panda-nyttolaster, som PUBLOAD i tidigare kampanjer.

Denna operation understryker en bredare trend inom riktad spear-phishing: snarare än att förlita sig på komplexa nolldagsangrepp, uppnår avancerade ihållande hotgrupper ofta åtkomst genom socialt relevanta lockbete i kombination med väl beprövade exekveringsmetoder som DLL-sidoladdning. Även om LOTUSLITE saknar mycket avancerade undvikande funktioner, gör dess enkla kommando-och-kontrollfunktioner och pålitliga exekveringsflöde det till ett praktiskt verktyg för långsiktig spionage.

Kampanjen visar att även enkla, välbekanta tekniker kan förbli effektiva i kombination med intelligent målgruppsinriktning och kontextuellt relevanta lockbete, särskilt mot värdefulla institutionella nätverk.