Expertos en seguridad han revelado detalles de una nueva campaña dirigida al gobierno de Estados Unidos y a actores políticos que utilizan señuelos de temática política para ofrecer una puerta trasera conocida como LOTUSLITE.
La campaña de malware dirigido utiliza señuelos relacionados con los recientes acontecimientos geopolíticos entre Estados Unidos y Venezuela para distribuir un archivo ZIP («EE.UU. decide qué sigue para Venezuela. zip») que contiene una DLL maliciosa que se lanza utilizando técnicas de descarga de DLL. No está claro si esta campaña logró comprometer alguno de sus objetivos.
Se cree con cierta confianza que esta actividad es obra de un grupo patrocinado por el estado chino conocido como Mustang Panda (también conocido como Earth Pret, HoneyMyte y Twill Typhoon), citando patrones tácticos y de infraestructura. En particular, se sabe que este atacante depende en gran medida de la descarga de DLL para lanzar puertas traseras como TONESHELL.
«Esta campaña refleja una tendencia continua de phishing dirigido utilizando señuelos geopolíticos, favoreciendo técnicas de ejecución confiables como la descarga de DLL en lugar del acceso inicial basado en exploits», dijeron en un análisis los investigadores de Acronis Ilya Davchev y Subhajit Sinha.
La puerta trasera utilizada en este ataque (‘kugou.dll’), LOTUSLITE, es un implante C++ personalizado que utiliza la API WinHTTP de Windows para comunicarse con un servidor de comando y control (C2) codificado, lo que permite la actividad de balizas, tareas remotas usando ‘cmd.exe’ y exfiltración de datos. La lista completa de comandos admitidos es:
0x0A, iniciar el shell CMD remoto 0x0B, salir del shell remoto 0x01, enviar comando a través del shell remoto 0x06, restablecer el estado de la baliza 0x03, enumerar archivos en la carpeta 0x0D, crear un archivo vacío 0x0E, agregar datos al archivo 0x0F, obtener el estado de la baliza
LOTUSLITE también se puede hacer persistente modificando el registro de Windows para que LOTUSLITE se ejecute automáticamente cada vez que un usuario inicia sesión en el sistema.
Acronis dijo que la puerta trasera «imita el comportamiento fraudulento de Claimloader al incorporar mensajes provocativos». Claimloader es el nombre asignado a una DLL que se inicia mediante la descarga de DLL y se utiliza para implementar PUBLOAD, otra herramienta de Mustang Panda. Este malware fue documentado por primera vez por IBM X-Force en junio de 2025 en relación con una campaña de ciberespionaje dirigida a la comunidad tibetana.
«Esta campaña muestra cuán efectivas pueden ser técnicas simples y bien probadas cuando se combinan con entregas específicas y atractivos geopolíticos relevantes», concluyó la firma de ciberseguridad de Singapur. «Aunque la puerta trasera LOTUSLITE carece de capacidades de evasión sofisticadas, su uso de carga lateral de DLL, flujos de ejecución confiables y funcionalidad básica de comando y control refleja un enfoque en la confiabilidad operativa sobre la sofisticación».
Las revelaciones se produjeron cuando The New York Times publicó detalles de un ciberataque supuestamente llevado a cabo por Estados Unidos para cortar el suministro eléctrico a la mayoría de los residentes de la capital, Caracas, durante varios minutos antes de una operación militar para capturar al presidente venezolano, Nicolás Maduro, el 3 de enero de 2026.
«Apagar la energía y bloquear el radar de Caracas permitió que un helicóptero militar estadounidense ingresara al país sin ser detectado en una misión para capturar al presidente venezolano Nicolás Maduro, quien fue llevado a los Estados Unidos acusado de drogas», informó el Times.
“El ataque dejó a la mayor parte de Caracas sin electricidad durante varios minutos, pero algunas áreas cercanas a la base militar donde estaba retenido el Sr. Maduro permanecieron sin electricidad por hasta 36 horas”.
Source link
