Expertos en seguridad han revelado detalles de una nueva campaña dirigida al gobierno de EE. UU. y a entidades políticas utilizando señuelos de temática política para ofrecer una puerta trasera conocida como LOTUSLITA.
La campaña de malware dirigido aprovecha señuelos relacionados con los recientes acontecimientos geopolíticos entre EE.UU. y Venezuela para distribuir un archivo ZIP (“EE.UU. ahora decide qué sigue para Venezuela.zip”) que contiene una DLL maliciosa que se vara utilizando técnicas de carga pegado de DLL. No se sabe si la campaña logró comprometer con éxito alguno de los objetivos.
La actividad se ha atribuido con moderada confianza a un asociación patrocinado por el estado chino conocido como Mustang Panda (todavía conocido como Earth Pret, HoneyMyte y Twill Typhoon), citando patrones tácticos y de infraestructura. Vale la pena señalar que el actor de amenazas es conocido por necesitar en gran medida de la carga pegado de DLL para editar sus puertas traseras, incluido TONESHELL.
“Esta campaña refleja una tendencia continua de phishing dirigido utilizando señuelos geopolíticos, favoreciendo técnicas de ejecución confiables como la carga pegado de DLL en empleo del golpe original basado en exploits”, dijeron en un prospección los investigadores de Acronis, Ilia Dafchev y Subhajeet Singha.
La puerta trasera (“kugou.dll”) empleada en el ataque, LOTUSLITE, es un implante C++ hecho a medida que está diseñado para comunicarse con un servidor de comando y control (C2) codificado utilizando las API WinHTTP de Windows para permitir la actividad de balizamiento, tareas remotas usando “cmd.exe” y exfiltración de datos. La serie completa de comandos admitidos es la sucesivo:
- 0x0A, para iniciar un shell CMD remoto
- 0x0B, para terminar el shell remoto
- 0x01, para dirigir comandos a través del shell remoto
- 0x06, para restablecer el estado de la baliza
- 0x03, para enumerar archivos en una carpeta
- 0x0D, para crear un archivo hueco
- 0x0E, para pegar datos a un archivo
- 0x0F, para obtener el estado de la baliza
LOTUSLITE todavía es capaz de establecer persistencia realizando modificaciones en el Registro de Windows para asegurar que se ejecute automáticamente cada vez que el afortunado inicia sesión en el sistema.
Acronis dijo que la puerta trasera “imita las travesuras de comportamiento de Claimloader al incorporar mensajes provocativos”. Claimloader es el nombre asignado a una DLL que se inicia mediante la carga pegado de DLL y se utiliza para implementar PUBLOAD, otra aparejo de Mustang Panda. El malware fue documentado por primera vez por IBM X-Force en junio de 2025 en relación con una campaña de ciberespionaje dirigida a la comunidad tibetana.
“Esta campaña demuestra cómo técnicas simples y acertadamente probadas pueden seguir siendo efectivas cuando se combinan con entregas específicas y atractivos geopolíticos relevantes”, concluyó la empresa de ciberseguridad de Singapur. “Aunque la puerta trasera LOTUSLITE carece de funciones de diversión avanzadas, su uso de carga pegado de DLL, flujo de ejecución confiable y funcionalidad básica de comando y control refleja un enfoque en la confiabilidad operativa en empleo de la sofisticación”.
La divulgación se produce cuando The New York Times publicó detalles sobre un supuesto ciberataque emprendido por Estados Unidos para interrumpir el suministro eléctrico a la mayoría de los residentes en la ciudad renta de Caracas durante unos minutos, antaño de la operación marcial del 3 de enero de 2026 que capturó al presidente venezolano Nicolás Sensato. la mision
“Apagar la electricidad en Caracas e interferir con el radar permitió que helicópteros militares estadounidenses ingresaran al país sin ser detectados en su representación de capturar a Nicolás Sensato, el presidente venezolano que ahora ha sido llevado a Estados Unidos para carear cargos por drogas”, informó el Times.
“El ataque provocó que la mayoría de los residentes de Caracas se quedaran sin electricidad por unos minutos, aunque algunos barrios cercanos a la colchoneta marcial donde fue capturado el señor Sensato quedaron sin electricidad por hasta 36 horas.”
