LOTUSLITE Hintertür

Sicherheitsforscher haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die sich gegen US-amerikanische Regierungs- und politische Institutionen richtete und aktuelle politische Themen nutzte, um Opfer anzulocken. Die Angreifer betteten ein ZIP-Archiv mit dem Titel „US now decided what's next for Venezuela.zip“ in Spear-Phishing-Nachrichten ein, die Empfänger ansprechen sollten, die sich Sorgen über die jüngsten Entwicklungen im US-venezolanischen Konflikt machten. Beim Öffnen dieses Archivs wird über DLL-Sideloading eine Hintertür namens LOTUSLITE installiert. Diese Methode nutzt legitime Anwendungen, um Schadsoftware zu verbergen und so einer Entdeckung zu entgehen. Es ist noch unklar, ob eines der anvisierten Opfer kompromittiert wurde.

Die Kampagne wird mit mäßiger Sicherheit der staatsnahen chinesischen Cyberspionagegruppe Mustang Panda zugeschrieben. Diese Zuordnung basiert auf übereinstimmenden taktischen Vorgehensweisen und Infrastrukturspuren, die zuvor mit dieser Gruppe in Verbindung gebracht wurden. Diese ist bekannt für politisch motivierte Angriffe und dafür, dass sie das Sideloading gegenüber dem Erstzugriff über Exploits bevorzugt.

Liefer- und Ausführungsmechanismus

Die schädliche ZIP-Datei enthält eine Köder-Executable und eine DLL-Datei, die durch DLL-Sideloading gestartet wird – ein zuverlässiger Ausführungsablauf, bei dem ein harmloser Prozess unbeabsichtigt eine schädliche Bibliothek lädt. Mustang Panda hat diese Technik bereits in früheren Operationen konsequent eingesetzt, unter anderem zum Einschleusen von Backdoors wie TONESHELL.

Nach der Ausführung fungiert die eingeschleuste DLL (mit dem Namen kugou.dll) als speziell für Spionagezwecke entwickelte C++-Hintertür. LOTUSLITE stellt über die Windows WinHTTP-API eine Verbindung zu seinem fest codierten Command-and-Control-Server (C2) her und ermöglicht so die Ausführung von Fernbefehlen und die Datenextraktion.

Hintertürfunktionen

LOTUSLITE unterstützt eine Reihe von Kernfunktionen, die Fernsteuerung und Aufklärung ermöglichen. Dazu gehören:

• Fernbefehlsausführung durch Starten und Steuern einer CMD-Shell
• Dateisysteminteraktionen, wie z. B. Verzeichnisaufzählung, Dateierstellung und Datenanhängung
• Beacon-Statusverwaltung, die die Kommunikation mit C2 steuert

Hier ist der vollständige Befehlssatz, der von LOTUSLITE unterstützt wird:

• 0x0A: Remote-CMD-Shell starten
• 0x0B: Beendet die Remote-Shell
• 0x01: Befehle über die Shell senden
• 0x06: Beacon-Status zurücksetzen
• 0x03: Dateien auflisten

• 0x0D: Leere Datei erstellen

• 0x0E: Daten an Datei anhängen

• 0x0F: Beacon-Status abrufen

LOTUSLITE gewährleistet zudem die Persistenz, indem es die Einstellungen der Windows-Registrierung so ändert, dass es bei jeder Benutzeranmeldung automatisch ausgeführt wird.

Verhaltensmerkmale und operativer Fokus

Sicherheitsanalysten stellten fest, dass LOTUSLITE Verhaltensähnlichkeiten zu früheren, von Mustang Panda eingesetzten Tools wie Claimloader aufweist. Insbesondere bettet es provokante Nachrichten ein, die Social-Engineering-Angriffe unterstützen. Claimloader selbst ist ein DLL-Loader, der in früheren Kampagnen zum Einsatz anderer Mustang-Panda-Payloads wie PUBLOAD verwendet wurde.

Diese Operation unterstreicht einen breiteren Trend beim gezielten Spear-Phishing: Anstatt auf komplexe Zero-Day-Exploits zu setzen, verschaffen sich APT-Gruppen (Advanced Persistent Threat) häufig Zugang durch sozial relevante Köder in Kombination mit bewährten Ausführungsmethoden wie dem Sideloading von DLLs. Obwohl LOTUSLITE keine hochentwickelten Ausweichfunktionen bietet, machen seine unkomplizierten Command-and-Control-Funktionen und der zuverlässige Ausführungsablauf es zu einem praktischen Werkzeug für langfristige Spionage.

Die Kampagne zeigt, dass selbst einfache, vertraute Techniken wirksam bleiben können, wenn sie mit intelligentem Targeting und kontextrelevanten Ködern kombiniert werden, insbesondere gegen wertvolle institutionelle Netzwerke.