LOTUSLITE Achterdeur
Beveiligingsonderzoekers hebben een geavanceerde malwarecampagne ontdekt die gericht was op de Amerikaanse overheid en beleidsinstellingen. De daders maakten gebruik van actuele politieke thema's om slachtoffers te lokken. Ze hadden een ZIP-archief met de titel 'US now decide what's next for Venezuela.zip' ingebed in spear-phishingberichten die waren ontworpen om ontvangers aan te spreken die zich zorgen maakten over de recente ontwikkelingen tussen de VS en Venezuela. Als dit archief werd geopend, werd een backdoor genaamd LOTUSLITE geïnstalleerd via DLL sideloading, een methode die legitieme applicaties gebruikt om kwaadaardige payloads te verbergen en detectie te omzeilen. Het is nog onduidelijk of er daadwerkelijk slachtoffers zijn gevallen.
De campagne wordt met redelijke zekerheid toegeschreven aan de aan de staat gelieerde Chinese cyberespionagegroep Mustang Panda. Deze toeschrijving is gebaseerd op overlappende tactische benaderingen en infrastructurele sporen die eerder aan deze groep werden gekoppeld. De groep staat bekend om haar politiek gemotiveerde doelwitten en om haar voorkeur voor sideloading boven toegang via exploits.
Inhoudsopgave
Leverings- en uitvoeringsmechanisme
Het kwaadaardige ZIP-bestand bevat een misleidend uitvoerbaar bestand en een dynamische linkbibliotheek die wordt gestart via DLL-sideloading, een betrouwbare uitvoeringsmethode waarbij een goedaardig proces per ongeluk een kwaadaardige bibliotheek laadt. Mustang Panda heeft deze techniek consequent gebruikt bij eerdere operaties, waaronder het verspreiden van backdoors zoals TONESHELL.
Na uitvoering fungeert de geïmplanteerde DLL (genaamd kugou.dll) als een op maat gemaakte C++-achterdeur, ontworpen voor spionagedoeleinden. LOTUSLITE legt verbinding met zijn vastgelegde Command-and-Control (C2)-server door gebruik te maken van de Windows WinHTTP API, waardoor opdrachten op afstand en data-extractie mogelijk worden.
Mogelijkheden voor achterdeuren
LOTUSLITE ondersteunt een reeks kernoperaties die besturing op afstand en verkenning mogelijk maken. Deze omvatten:
- Op afstand commando's uitvoeren door een CMD-shell te starten en te besturen.
- Interacties met het bestandssysteem, zoals het opsommen van mappen, het aanmaken van bestanden en het toevoegen van gegevens.
- Beheer van de bakenstatus, waarmee de communicatie met C2 wordt geregeld.
Hieronder vindt u de volledige set commando's die door LOTUSLITE worden ondersteund:
- 0x0A: Start een externe CMD-shell
- 0x0B: Beëindig de externe shell
- 0x01: Commando's verzenden via de shell
- 0x06: Bakenstatus resetten
- 0x03: Bestanden opsommen
- 0x0D: Leeg bestand aanmaken
- 0x0E: Gegevens toevoegen aan bestand
- 0x0F: Bakenstatus ophalen
LOTUSLITE zorgt ook voor persistentie door de instellingen van het Windows-register aan te passen, zodat het automatisch wordt uitgevoerd bij elke gebruikersaanmelding.
Gedragskenmerken en operationele focus
Beveiligingsanalisten hebben vastgesteld dat LOTUSLITE gedragsmatige overeenkomsten vertoont met eerdere tools die door Mustang Panda zijn ingezet, zoals Claimloader, met name door het inbedden van provocerende berichten die social engineering-pogingen ondersteunen. Claimloader is zelf een DLL-loader die werd gebruikt om andere Mustang Panda-payloads zoals PUBLOAD in eerdere campagnes te verspreiden.
Deze operatie onderstreept een bredere trend in gerichte spear-phishing: in plaats van te vertrouwen op complexe zero-day exploits, verkrijgen geavanceerde persistente dreigingsgroepen vaak toegang via sociaal relevante lokmiddelen in combinatie met beproefde uitvoeringsmethoden zoals DLL-sideloading. Hoewel LOTUSLITE geen zeer geavanceerde ontwijkingsfuncties heeft, maken de eenvoudige command-and-control-mogelijkheden en de betrouwbare uitvoeringsstroom het een praktisch hulpmiddel voor langdurige spionage.
De campagne laat zien dat zelfs simpele, bekende technieken effectief kunnen blijven in combinatie met slimme targeting en contextueel relevante lokmiddelen, met name tegen waardevolle institutionele netwerken.
