Beveiligingsexperts hebben details bekendgemaakt van een nieuwe campagne die zich heeft gericht op Amerikaanse regerings- en beleidsentiteiten met behulp van politiek getinte lokmiddelen om een achterdeur te creëren die bekend staat als LOTUSLIET.
De gerichte malwarecampagne maakt gebruik van lokvogels die verband houden met de recente geopolitieke ontwikkelingen tussen de VS en Venezuela om een ZIP-archief (“VS beslist nu wat de toekomst biedt voor Venezuela.zip”) te verspreiden met daarin een kwaadaardige DLL die wordt gelanceerd met behulp van DLL side-loading-technieken. Het is niet bekend of de campagne erin is geslaagd een van de doelen in gevaar te brengen.
De activiteit wordt met matig vertrouwen toegeschreven aan een door de Chinese staat gesponsorde groep, bekend als Mustang Panda (ook bekend als Earth Pret, HoneyMyte en Twill Typhoon), daarbij verwijzend naar tactische en infrastructuurpatronen. Het is de moeite waard om op te merken dat de bedreigingsacteur erom bekend staat dat hij in grote mate vertrouwt op DLL-side-loading om zijn backdoors te lanceren, waaronder TONESHELL.
“Deze campagne weerspiegelt een aanhoudende trend van gerichte spearphishing met behulp van geopolitieke lokmiddelen, waarbij de voorkeur wordt gegeven aan betrouwbare uitvoeringstechnieken zoals DLL side-loading boven op exploits gebaseerde initiële toegang”, aldus Acronis-onderzoekers Ilia Dafchev en Subhajeet Singha in een analyse.
De achterdeur (“kugou.dll”) die bij de aanval wordt gebruikt, LOTUSLITE, is een op maat gemaakt C++-implantaat dat is ontworpen om te communiceren met een hardgecodeerde command-and-control (C2)-server met behulp van Windows WinHTTP API’s om beaconing-activiteit, taken op afstand met behulp van “cmd.exe” en data-exfiltratie mogelijk te maken. De volledige lijst met ondersteunde opdrachten is als volgt:
- 0x0A, om een externe CMD-shell te initiëren
- 0x0B, om de externe shell te beëindigen
- 0x01, om opdrachten te verzenden via de externe shell
- 0x06, om de bakenstatus te resetten
- 0x03, om bestanden in een map op te sommen
- 0x0D, om een leeg bestand te maken
- 0x0E, om gegevens aan een bestand toe te voegen
- 0x0F, om de bakenstatus te krijgen
LOTUSLITE is ook in staat om persistentie tot stand te brengen door wijzigingen in het Windows-register aan te brengen om ervoor te zorgen dat deze automatisch wordt uitgevoerd telkens wanneer de gebruiker zich aanmeldt bij het systeem.
Acronis zei dat de achterdeur “de gedragsschandalen van Claimloader nabootst door provocerende berichten in te sluiten.” Claimloader is de naam die is toegewezen aan een DLL die wordt gestart met behulp van DLL side-loading en wordt gebruikt om PUBLOAD, een andere Mustang Panda-tool, te implementeren. De malware werd voor het eerst gedocumenteerd door IBM X-Force in juni 2025 in verband met een cyberspionagecampagne gericht op de Tibetaanse gemeenschap.
“Deze campagne laat zien hoe eenvoudige en goed geteste technieken nog steeds effectief kunnen zijn als ze worden gecombineerd met gerichte levering en relevante geopolitieke aantrekkingskrachten”, concludeerde het Singaporese cyberbeveiligingsbedrijf. “Hoewel de LOTUSLITE-backdoor geen geavanceerde ontwijkingsfuncties heeft, weerspiegelt het gebruik van DLL-sideloading, betrouwbare uitvoeringsstroom en elementaire command-and-control-functionaliteit een focus op operationele betrouwbaarheid in plaats van op verfijning.”
De onthulling komt op het moment dat The New York Times details publiceerde over een vermeende cyberaanval die door de VS werd ondernomen om de elektriciteitsvoorziening voor de meeste inwoners van de hoofdstad Caracas een paar minuten lang te verstoren, vóór de militaire operatie van 3 januari 2026 waarbij de Venezolaanse president Nicolás Maduro gevangen werd genomen. De missie
“Door de stroom in Caracas uit te schakelen en de radar te verstoren, konden Amerikaanse militaire helikopters onopgemerkt het land binnenkomen op hun missie om Nicolás Maduro gevangen te nemen, de Venezolaanse president die nu naar de Verenigde Staten is gebracht om te worden aangeklaagd voor drugs”, aldus de Times.
“Door de aanval verloren de meeste inwoners van Caracas een paar minuten lang hun macht, hoewel sommige wijken in de buurt van de militaire basis waar Maduro werd gevangengenomen wel 36 uur zonder elektriciteit zaten.”
