Porta sul retro di LOTUSLITE
I ricercatori di sicurezza hanno scoperto una sofisticata campagna malware rivolta al governo e alle istituzioni politiche degli Stati Uniti, che sfrutta temi politici di attualità per attirare le vittime. Gli autori della minaccia hanno incorporato un archivio ZIP intitolato "US now deciding what's next for Venezuela.zip" in messaggi di spear-phishing progettati per attirare i destinatari preoccupati per i recenti sviluppi tra Stati Uniti e Venezuela. Se aperto, questo archivio diffonde una backdoor nota come LOTUSLITE tramite il side-loading DLL, un metodo che sfrutta applicazioni legittime per nascondere payload dannosi ed eludere il rilevamento. Non è ancora chiaro se alcune delle vittime designate siano state compromesse con successo.
La campagna è stata attribuita con moderata sicurezza al gruppo cinese di cyberspionaggio Mustang Panda, legato allo Stato. Questa attribuzione si basa su approcci tattici e infrastrutture sovrapposti precedentemente associati a questo gruppo, noto per gli attacchi mirati a fini politici e per la preferenza per il side-loading rispetto all'accesso iniziale basato sugli exploit.
Sommario
Meccanismo di consegna ed esecuzione
Il file ZIP dannoso contiene un file eseguibile esca e una libreria a collegamento dinamico che viene avviata tramite il caricamento laterale di DLL, un flusso di esecuzione affidabile in cui un processo benigno carica inavvertitamente una libreria dannosa. Mustang Panda ha utilizzato costantemente questa tecnica in precedenti operazioni, incluso il push di backdoor come TONESHELL.
Una volta eseguita, la DLL impiantata (denominata kugou.dll) funge da backdoor C++ personalizzata, progettata per attività di spionaggio. LOTUSLITE stabilisce una connessione al suo server di comando e controllo (C2) hard-coded sfruttando l'API WinHTTP di Windows, consentendo comandi remoti ed estrazione dati.
Capacità backdoor
LOTUSLITE supporta una serie di operazioni fondamentali che facilitano il controllo remoto e la ricognizione. Tra queste:
- Esecuzione di comandi remoti tramite la generazione e il controllo di una shell CMD
- Interazioni del file system, come l'enumerazione delle directory, la creazione di file e l'aggiunta di dati
- Gestione dello stato del beacon, che controlla la comunicazione con C2
Ecco il set completo di comandi supportato da LOTUSLITE:
- 0x0A: avvia la shell CMD remota
- 0x0B: Termina la shell remota
- 0x01: Invia comandi tramite shell
- 0x06: Reimposta lo stato del beacon
- 0x03: Enumera i file
- 0x0D: Crea un file vuoto
- 0x0E: Aggiungi dati al file
- 0x0F: Recupera lo stato del beacon
LOTUSLITE garantisce inoltre la persistenza modificando le impostazioni del Registro di sistema di Windows in modo che venga eseguito automaticamente a ogni accesso dell'utente.
Tratti comportamentali e focus operativo
Gli analisti della sicurezza hanno osservato che LOTUSLITE presenta somiglianze comportamentali con gli strumenti precedentemente implementati da Mustang Panda, come Claimloader, in particolare incorporando stringhe di messaggi provocatori che supportano le attività di ingegneria sociale. Claimloader è a sua volta un caricatore DLL utilizzato per implementare altri payload di Mustang Panda come PUBLOAD in campagne precedenti.
Questa operazione evidenzia una tendenza più ampia nello spear-phishing mirato: anziché affidarsi a complessi exploit zero-day, i gruppi di minacce persistenti avanzate spesso ottengono l'accesso tramite esche socialmente rilevanti combinate con metodi di esecuzione collaudati come il side-loading delle DLL. Sebbene LOTUSLITE non disponga di funzionalità di evasione altamente avanzate, le sue semplici funzionalità di comando e controllo e il flusso di esecuzione affidabile lo rendono uno strumento pratico per lo spionaggio a lungo termine.
La campagna dimostra che anche tecniche semplici e familiari possono rimanere efficaci se abbinate a un targeting intelligente e ad esche contestualmente pertinenti, soprattutto contro reti istituzionali di alto valore.
