Source : Acronis Threat Research Unit (TRU). Dans un billet technique du 15 janvier 2026, Acronis TRU documente une campagne ciblée livrant un nouveau backdoor DLL, LOTUSLITE, via une archive ZIP à thème géopolitique liée aux relations États-Unis–Venezuela, contre des entités gouvernementales/politiques américaines.

Vue d’ensemble. La chaîne d’infection repose sur un exécutable légitime et une DLL malveillante cachée, avec DLL sideloading pour exécuter un implant C++. LOTUSLITE communique avec un C2 à IP codée en dur, offre des fonctions de télécommande (shell interactif, opérations fichiers, exfiltration basique) et met en place une persistance robuste. La campagne est jugée axée espionnage (et non financière), à portée limitée mais à impact potentiel élevé sur des cibles stratégiques.

🔧 Détails techniques. L’archive « US now deciding what’s next for Venezuela.zip » contient un lanceur renommé (« Maduro to be taken to New York.exe », binaire KuGou) qui charge explicitement « kugou.dll » via LoadLibraryW/GetProcAddress. L’implant exécute une partie de sa logique avant DllMain via le mécanisme CRT _initterm. La fonction clef « DataImporterMain » gère la persistance, le leurre (décoy) et la beaconing. Capacités : shell cmd.exe avec E/S redirigées, arrêt du shell (TerminateProcess), énumération (GetComputerName, GetUserName), parcours/écriture de fichiers, et vérification d’état de beacon.

📡 Command & Control. Le backdoor utilise WinHTTP et se fond dans le trafic web : User-Agent Googlebot, Referrer Google, Host se présentant comme un domaine Microsoft, et cookie de session fixe. Protocole binaire avec en-tête « magique » 0x8899AABB; support de multiples paquets dans un même POST. Le C2 est 172.81.60.97 (unassigned.172-81-60-97.spryt.net), sur TCP 443, hébergé à Phoenix (Arizona), ASN AS398019 (Dynu Systems Incorporated), avec observations passives de connexions répétées.

🧩 Persistance et artefacts. Création du dossier C:\ProgramData\Technology360NB, renommage du lanceur en DataTechnology.exe avec l’argument –DATA, et ajout d’une clé Run (HKCU) via SHSetValueA sous la valeur Lite360. La DLL exporte aussi « EvtNext » et « EvtQuery » contenant des messages de développeur sur l’identité nationale, dont une auto‑identification comme chinoise.

🎯 Attribution. Acronis TRU attribue avec confiance modérée à Mustang Panda, fondée sur des chevauchements comportementaux : style de livraison, séparation loader–DLL, réutilisation d’infrastructure. Pivots vers un exécutable KuGou « ASEAN Leaders Meeting,exe » (campagnes documentées par Cisco Talos, 2022) et similitudes avec ClaimLoader (messages provocateurs, observés par IBM X-Force, mai 2025). Le loader montre une maturité de développement faible. Cette campagne illustre la poursuite des spear-phishings à thèmes géopolitiques privilégiant le DLL sideloading. Type: analyse de menace visant à documenter la campagne, ses artefacts et ses chevauchements d’attribution.

IOC observés:

  • Fichiers/chemins: “US now deciding what’s next for Venezuela.zip”; “Maduro to be taken to New York.exe” (KuGou); “kugou.dll”; “DataTechnology.exe”; dossier “C:\ProgramData\Technology360NB”
  • Registre: HKCU\Software\Microsoft\Windows\CurrentVersion\Run → valeur “Lite360”
  • Réseau: 172.81.60.97 (unassigned.172-81-60-97.spryt.net), TCP 443, ASN AS398019 (Dynu Systems Incorporated), Phoenix (États-Unis)
  • Protocole: en-tête/marqueur 0x8899AABB; User-Agent Googlebot; referrer Google; cookie de session fixe; Host présenté comme domaine Microsoft

TTPs mis en évidence:

  • Spear phishing via archive ZIP à thème géopolitique
  • DLL sideloading par exécutable légitime (KuGou) et chargement via LoadLibraryW/GetProcAddress
  • Exécution anticipée via CRT _initterm; fonctions exportées multiples
  • C2 sur HTTPS (WinHTTP) avec déguisement d’en-têtes (Googlebot/Referrer/Host) et protocole binaire à en-tête magique
  • Persistance par dossier dédié, renommage du binaire, clé Run (HKCU)
  • Exécution de commandes via shell interactif, opérations fichiers, énumération système, beaconing

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001 - Spear Phishing Attachment’, ‘T1574.002 - DLL Side-Loading’, ‘T1059.003 - Command and Scripting Interpreter: Windows Command Shell’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1071.004 - Application Layer Protocol: DNS’, ‘T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder’, ‘T1105 - Ingress Tool Transfer’, ‘T1083 - File and Directory Discovery’, ‘T1005 - Data from Local System’, ‘T1070.004 - Indicator Removal on Host: File Deletion’]

IOC

[‘US now deciding what’s next for Venezuela.zip’, ‘Maduro to be taken to New York.exe’, ‘kugou.dll’, ‘DataTechnology.exe’, ‘C:\ProgramData\Technology360NB’, ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run → valeur Lite360’, ‘172.81.60.97’, ‘unassigned.172-81-60-97.spryt.net’, ‘ASN AS398019 (Dynu Systems Incorporated)’, ‘0x8899AABB’, ‘User-Agent Googlebot’, ‘Referrer Google’, ‘Host présenté comme domaine Microsoft’]

🔗 Source originale : https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/