Các chuyên gia bảo mật đã công bố chi tiết về một chiến dịch mới nhắm mục tiêu vào các cơ quan chính phủ và thực thể chính sách của Hoa Kỳ, sử dụng các mồi nhử mang chủ đề chính trị để phát tán một backdoor có tên là LOTUSLITE.
Chiến dịch phần mềm độc hại này sử dụng các mồi nhử liên quan đến các diễn biến địa chính trị gần đây giữa Hoa Kỳ và Venezuela để phân phối một tệp lưu trữ ZIP ("US now deciding what's next for Venezuela.zip") chứa một DLL độc hại được khởi chạy bằng kỹ thuật DLL side-loading. Hiện chưa rõ liệu chiến dịch này có thành công xâm nhập vào bất kỳ mục tiêu nào hay không.
Hoạt động này được cho là có liên quan ở mức độ tin cậy vừa phải với một nhóm được chính phủ Trung Quốc tài trợ, được gọi là Mustang Panda (còn gọi là Earth Pret, HoneyMyte, và Twill Typhoon), dựa trên các mô hình chiến thuật và cơ sở hạ tầng. Cần lưu ý rằng nhóm tấn công này nổi tiếng với việc thường xuyên sử dụng DLL side-loading để khởi chạy các backdoor của mình, bao gồm cả TONESHELL.
"Chiến dịch này phản ánh xu hướng tiếp diễn của các cuộc tấn công spear phishing có mục tiêu sử dụng mồi nhử địa chính trị, ưu tiên các kỹ thuật thực thi đáng tin cậy như DLL side-loading hơn là truy cập ban đầu dựa trên exploit," các nhà nghiên cứu Ilia Dafchev và Subhajeet Singha từ Acronis cho biết trong một phân tích.
Backdoor ("kugou.dll") được sử dụng trong cuộc tấn công, LOTUSLITE, là một implant C++ tùy chỉnh được thiết kế để giao tiếp với một máy chủ command-and-control (C2) được mã hóa cứng bằng cách sử dụng Windows WinHTTP APIs nhằm kích hoạt hoạt động beaconing, thực hiện tác vụ từ xa bằng "cmd.exe" và đánh cắp dữ liệu. Danh sách đầy đủ các lệnh được hỗ trợ như sau:
- 0x0A, để khởi tạo một CMD shell từ xa
- 0x0B, để chấm dứt shell từ xa
- 0x01, để gửi lệnh qua shell từ xa
- 0x06, để đặt lại trạng thái beacon
- 0x03, để liệt kê các tệp trong một thư mục
- 0x0D, để tạo một tệp trống
- 0x0E, để thêm dữ liệu vào một tệp
- 0x0F, để lấy trạng thái beacon
LOTUSLITE cũng có khả năng thiết lập persistence bằng cách sửa đổi Windows Registry để đảm bảo rằng nó được tự động thực thi mỗi khi người dùng đăng nhập vào hệ thống.
Acronis cho biết backdoor này "bắt chước hành vi của Claimloader bằng cách nhúng các thông điệp khiêu khích." Claimloader là tên được gán cho một DLL được khởi chạy bằng DLL side-loading và được sử dụng để triển khai PUBLOAD, một công cụ khác của Mustang Panda. Phần mềm độc hại này lần đầu tiên được IBM X-Force ghi nhận vào tháng 6 năm 2025 liên quan đến một chiến dịch gián điệp mạng nhắm vào cộng đồng Tây Tạng.
"Chiến dịch này cho thấy cách các kỹ thuật đơn giản và đã được thử nghiệm kỹ lưỡng vẫn có thể hiệu quả khi kết hợp với việc phân phối có mục tiêu và các mồi nhử địa chính trị phù hợp," công ty an ninh mạng Singapore kết luận. "Mặc dù backdoor LOTUSLITE thiếu các tính năng evasion tiên tiến, nhưng việc sử dụng DLL sideloading, luồng thực thi đáng tin cậy và chức năng command-and-control cơ bản của nó phản ánh sự tập trung vào độ tin cậy trong hoạt động hơn là sự tinh vi."
Thông tin này được công bố khi The New York Times đã xuất bản chi tiết về một cuộc tấn công mạng được cho là do Hoa Kỳ thực hiện nhằm cắt điện của hầu hết cư dân thủ đô Caracas trong vài phút, trước chiến dịch quân sự ngày 3 tháng 1 năm 2026 đã bắt giữ Tổng thống Venezuela Nicolás Maduro. Nhiệm vụ này
"Việc cắt điện ở Caracas và gây nhiễu radar đã cho phép trực thăng quân sự Hoa Kỳ di chuyển vào nước này mà không bị phát hiện trong nhiệm vụ bắt giữ Nicolás Maduro, tổng thống Venezuela hiện đã bị đưa sang Hoa Kỳ để đối mặt với cáo buộc buôn bán ma túy," tờ Times đưa tin. "Cuộc tấn công đã khiến hầu hết cư dân Caracas mất điện trong vài phút, mặc dù một số khu dân cư gần căn cứ quân sự nơi ông Maduro bị bắt đã mất điện tới 36 giờ."
