Porte arrière LOTUSLITE
Des chercheurs en sécurité ont mis au jour une campagne de logiciels malveillants sophistiquée ciblant le gouvernement et les institutions politiques américaines, utilisant des thèmes politiques d'actualité pour piéger leurs victimes. Les auteurs de cette menace ont intégré une archive ZIP intitulée « US now decide what's next for Venezuela.zip » dans des messages d'hameçonnage ciblés, conçus pour séduire les destinataires préoccupés par l'évolution récente des relations entre les États-Unis et le Venezuela. Une fois ouverte, cette archive installe une porte dérobée appelée LOTUSLITE via le chargement latéral de DLL, une méthode qui exploite des applications légitimes pour dissimuler des charges utiles malveillantes et échapper à la détection. On ignore pour l'instant si des victimes ciblées ont été infectées.
La campagne a été attribuée avec un degré de certitude modéré au groupe de cyberespionnage chinois Mustang Panda, lié à l'État. Cette attribution repose sur des similitudes dans les approches tactiques et l'infrastructure qui lui sont associées, déjà connues pour leurs ciblages à motivation politique et pour privilégier le chargement latéral de logiciels malveillants à l'accès initial par exploitation de vulnérabilités.
Table des matières
Mécanisme de livraison et d’exécution
Le fichier ZIP malveillant contient un exécutable leurre et une bibliothèque de liens dynamiques (DLL) lancée par chargement latéral de DLL, une méthode d'exécution éprouvée où un processus légitime charge par inadvertance une bibliothèque malveillante. Mustang Panda a régulièrement utilisé cette technique lors d'opérations précédentes, notamment pour déployer des portes dérobées comme TONESHELL.
Une fois exécutée, la DLL implantée (nommée kugou.dll) agit comme une porte dérobée C++ personnalisée, conçue pour des tâches d'espionnage. LOTUSLITE établit une connexion avec son serveur de commande et de contrôle (C2) intégré via l'API WinHTTP de Windows, permettant ainsi l'exécution de commandes à distance et l'extraction de données.
Capacités de porte dérobée
LOTUSLITE prend en charge un ensemble d'opérations de base facilitant le contrôle et la reconnaissance à distance. Celles-ci comprennent :
- Exécution de commandes à distance via la création et le contrôle d'un shell CMD
- Interactions du système de fichiers, telles que l'énumération des répertoires, la création de fichiers et l'ajout de données
- Gestion de l'état des balises, qui contrôle la communication avec le C2
Voici l'ensemble complet des commandes prises en charge par LOTUSLITE :
- 0x0A : Initialisation d'un shell CMD distant
- 0x0B : Terminer le shell distant
- 0x01 : Envoyer des commandes via le shell
- 0x06 : Réinitialiser l’état de la balise
- 0x03 : Énumérer les fichiers
- 0x0D : Créer un fichier vide
- 0x0E : Ajouter des données au fichier
- 0x0F : Récupérer l’état de la balise
LOTUSLITE assure également la persistance en modifiant les paramètres du Registre Windows afin qu'il s'exécute automatiquement à chaque connexion utilisateur.
Caractéristiques comportementales et focalisation opérationnelle
Les analystes de sécurité ont constaté que LOTUSLITE présente des similitudes comportementales avec les outils précédemment déployés par Mustang Panda, tels que Claimloader, notamment en intégrant des messages provocateurs favorisant les techniques d'ingénierie sociale. Claimloader est lui-même un chargeur de DLL utilisé pour déployer d'autres charges utiles de Mustang Panda, comme PUBLOAD, lors de campagnes antérieures.
Cette opération met en lumière une tendance plus générale du spear-phishing ciblé : plutôt que de s’appuyer sur des exploits zero-day complexes, les groupes de menaces persistantes avancées obtiennent souvent un accès grâce à des leurres socialement pertinents combinés à des méthodes d’exécution éprouvées telles que le chargement latéral de DLL. Bien que LOTUSLITE ne dispose pas de fonctionnalités d’évasion très avancées, ses capacités de commande et de contrôle simples et son flux d’exécution fiable en font un outil pratique pour l’espionnage à long terme.
Cette campagne démontre que même des techniques simples et familières peuvent rester efficaces lorsqu'elles sont associées à un ciblage intelligent et à des leurres contextuellement pertinents, notamment contre les réseaux institutionnels de grande valeur.
