Des experts en sécurité ont révélé les détails d'une nouvelle campagne ciblant le gouvernement américain et des entités politiques utilisant des leurres à caractère politique pour proposer une porte dérobée connue sous le nom de LOTUSLITE.
La campagne ciblée de logiciels malveillants exploite des leurres liés aux récents événements géopolitiques entre les États-Unis et le Venezuela pour distribuer un fichier ZIP (« Les États-Unis décident maintenant de l'avenir du Venezuela.zip ») contenant une DLL malveillante lancée à l'aide de techniques de chargement latéral de DLL. On ne sait pas si la campagne a réussi à compromettre l’un des objectifs.
L'activité a été attribuée avec une confiance modérée à un groupe parrainé par l'État chinois connu sous le nom de Mustang Panda (également connu sous le nom de Earth Pret, HoneyMyte et Twill Typhoon), citant des modèles tactiques et infrastructurels. Il convient de noter que l’acteur malveillant est connu pour s’appuyer fortement sur le chargement latéral de DLL pour lancer ses portes dérobées, y compris TONESHELL.
“Cette campagne reflète une tendance actuelle au spear phishing utilisant des leurres géopolitiques, privilégiant des techniques d'exécution fiables telles que le chargement latéral de DLL plutôt qu'un accès initial basé sur un exploit”, ont déclaré Ilia Dafchev et Subhajeet Singha, chercheurs d'Acronis, dans une analyse.
La porte dérobée (« kugou.dll ») utilisée dans l'attaque, LOTUSLITE, est un implant C++ sur mesure conçu pour communiquer avec un serveur de commande et de contrôle (C2) chiffré à l'aide des API Windows WinHTTP pour permettre l'activité des balises, les tâches à distance à l'aide de « cmd.exe » et l'exfiltration de données. La liste complète des commandes prises en charge est la suivante :
- 0x0A, pour démarrer un shell CMD distant
- 0x0B, pour terminer le shell distant
- 0x01, pour envoyer des commandes via le shell distant
- 0x06, pour réinitialiser l'état de la balise
- 0x03, pour lister les fichiers dans un dossier
- 0x0D, pour créer un fichier vide
- 0x0E, pour ajouter des données à un fichier
- 0x0F, pour obtenir l'état de la balise
LOTUSLITE est également capable d'établir la persistance en apportant des modifications au registre Windows pour garantir qu'il s'exécute automatiquement à chaque fois que l'utilisateur se connecte au système.
Acronis a déclaré que la porte dérobée “imite les bouffonneries comportementales de Claimloader en incorporant des messages provocateurs”. Claimloader est le nom attribué à une DLL démarrée par le chargement latéral de la DLL et utilisé pour déployer PUBLOAD, un autre outil Mustang Panda. Le malware a été documenté pour la première fois par IBM X-Force en juin 2025 dans le cadre d'une campagne de cyberespionnage ciblant la communauté tibétaine.
“Cette campagne démontre comment des techniques simples et bien testées peuvent rester efficaces lorsqu'elles sont combinées avec des résultats ciblés et des attraits géopolitiques pertinents”, a conclu la société de cybersécurité de Singapour. “Bien que la porte dérobée LOTUSLITE manque de fonctionnalités d'évasion avancées, son utilisation du chargement latéral de DLL, son flux d'exécution fiable et ses fonctionnalités de commande et de contrôle de base reflètent une concentration sur la fiabilité opérationnelle plutôt que sur la sophistication.”
Cette divulgation intervient alors que le New York Times a publié des détails sur une cyberattaque présumée entreprise par les États-Unis pour couper l'électricité à la plupart des habitants de la capitale Caracas pendant quelques minutes, avant l'opération militaire du 3 janvier 2026 qui a capturé le président vénézuélien Nicolás Maduro. la mission
“La coupure de l'électricité à Caracas et le brouillage des radars ont permis aux hélicoptères militaires américains d'entrer dans le pays sans être détectés dans le cadre de leur mission visant à capturer Nicolás Maduro, le président vénézuélien qui a maintenant été amené aux États-Unis pour y faire face à des accusations liées à la drogue”, a rapporté le Times.
“L'attaque a laissé la plupart des habitants de Caracas sans électricité pendant quelques minutes, même si certains quartiers proches de la base militaire où M. Maduro a été capturé ont été laissés sans électricité pendant 36 heures.”
