Los expertos en seguridad han revelado detalles de una nueva campaña dirigida a entidades gubernamentales y políticas de los Estados Unidos que utilizan señuelos de temática política para lanzar una puerta trasera conocida como LOTO LITE .
La campaña de malware dirigida aprovecha los señuelos relacionados con la acontecimientos geopolíticos recientes entre EE. UU. y Venezuela para distribuir un archivo ZIP («Estados Unidos está decidiendo qué hacer con Venezuela.zip») que contiene una DLL maliciosa que se lanza mediante técnicas de carga lateral de DLL. No se sabe si la campaña logró comprometer con éxito alguno de los objetivos.
La actividad se ha atribuido con una confianza moderada a un grupo patrocinado por el estado chino conocido como Mustang Panda (también conocido como Earth Pret, HoneyMyte y Twill Typhoon), citando patrones tácticos y de infraestructura. Vale la pena señalar que este actor de amenazas es conocido por confiar en gran medida en la carga lateral de las DLL para lanzar sus puertas traseras, incluida TONESHELL.
«Esta campaña refleja una tendencia continua de suplantación de identidad dirigida con señuelos geopolíticos, que prefieren técnicas de ejecución fiables, como la carga lateral de archivos DLL, en lugar del acceso inicial basado en exploits», afirman Ilia Dafchev y Subhajeet Singha, investigadores de Acronis. dijo en un análisis.
El backdoor (» kugou.dll «) empleado en el ataque, LOTUSLITE, es un implante de C++ hecho a medida que está diseñado para comunicarse con un servidor de comando y control (C2) codificado de forma rígida que utiliza las API WinHTTP de Windows para permitir la actividad de balizamiento, las tareas remotas mediante" cmd.exe» y la exfiltración de datos. La lista completa de comandos compatibles es la siguiente:
- 0x0A, para iniciar un shell CMD remoto
- 0x0B, para terminar el shell remoto
- 0x01, para enviar comandos a través del shell remoto
- 0x06, para restablecer el estado de la baliza
- 0x03, para enumerar los archivos de una carpeta
- 0x0D, para crear un archivo vacío
- 0x0E, para añadir datos a un archivo
- 0x0F, para obtener el estado de la baliza
LOTUSLITE también es capaz de establecer la persistencia realizando modificaciones en el Registro de Windows para garantizar que se ejecute automáticamente cada vez que el usuario inicie sesión en el sistema.
Acronis dijo que la puerta trasera «imita las travesuras conductuales de Claimloader al incluir mensajes provocadores». Claimloader es el nombre que se asigna a una DLL que se lanza mediante la carga lateral de DLL y que se utiliza para implementar PUBLOAD, otra herramienta de Mustang Panda. El malware fue documentado por primera vez por IBM X-Force en junio de 2025 en relación con una campaña de ciberespionaje dirigida a la comunidad tibetana.
«Esta campaña demuestra cómo las técnicas simples y bien probadas pueden seguir siendo eficaces cuando se combinan con una entrega dirigida y los atractivos geopolíticos pertinentes», concluyó la empresa de ciberseguridad de Singapur. «Si bien la puerta trasera de LOTUSLITE carece de funciones avanzadas de evasión, su uso de la carga lateral de las DLL, el flujo de ejecución fiable y las funciones básicas de comando y control reflejan que se centra más en la fiabilidad operativa que en la sofisticación».
La revelación llega cuando The New York Times publicado detalles sobre un supuesto ciberataque llevado a cabo por Estados Unidos para interrumpir el suministro eléctrico de la mayoría de los residentes de la ciudad capital de Caracas durante unos minutos, antes de la operación militar del 3 de enero de 2026 que capturó al presidente venezolano Nicolás Maduro. ¿La misión
«El corte de la energía en Caracas y la interferencia con el radar permitieron a los helicópteros militares estadounidenses entrar en el país sin ser detectados en su misión de capturar a Nicolás Maduro, el presidente venezolano que ahora ha sido llevado a los Estados Unidos para ser acusado de drogas», informó el Times.
«El ataque provocó que la mayoría de los residentes de Caracas se quedaran sin electricidad durante unos minutos, aunque algunos barrios cercanos a la base militar donde capturaron al Sr. Maduro se quedaron sin electricidad hasta 36 horas».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS