Mustang Panda cible le secteur bancaire indien avec une nouvelle variante du backdoor LOTUSLITE

📅 Source et contexte : Rapport publié le 21 avril 2026 par l’Acronis Threat Research Unit (TRU), documentant une nouvelle campagne d’espionnage attribuée avec une confiance modérée au groupe Mustang Panda.

🎯 Ciblage : La campagne cible le secteur bancaire indien, marquant un pivot géographique et sectoriel par rapport aux précédentes opérations visant des entités gouvernementales américaines. Une déviation secondaire vers la géopolitique coréenne est également mentionnée.

🔗 Chaîne d’attaque :

• Livraison initiale via un fichier CHM malveillant (Request for Support.chm) probablement distribué par spear phishing
• Le CHM contient un fichier HTML (archive_1.html) qui redirige vers un serveur distant pour télécharger un fichier JavaScript malveillant (music.js) hébergé sur hxxps://cosmosmusic[.]com
• Le JS abuse de hh.exe pour décompiler le CHM et extraire Microsoft_DNX.exe dans C:\Users\Public\Documents\
• DLL sideloading : l’exécutable légitime signé Microsoft (Microsoft_DNX.exe) charge dynamiquement la DLL malveillante via LoadLibraryExW et GetProcAddress sur la fonction exportée DnxMain

🦠 LOTUSLITE v1.1 — Évolutions techniques :

• Passage de 16 à 22 fonctions exportées ; DataImporterMain remplacé par DnxMain et HDFCBankMain
• Magic value modifiée : 0x8899AABB → 0xB2EBCFDF pour contourner les règles de détection réseau
• Flag d’exécution changé : --DATA → --ZoneMAX
• Nouveau mutex : mdseccoUk
• Résolution dynamique des API Windows via LdrLoadDll/RtlInitUnicodeString depuis ntdll.dll pour masquer les imports (winhttp.dll, kernel32.dll, advapi32.dll, shlwapi.dll)
• Persistance déplacée dans une fonction dédiée (auparavant inline via SHSetValueA)
• C2 : editor[.]gleeze[.]com (dynamic DNS, HTTPS)
• Suppression des commentaires sarcastiques (ex: “Goofball”) présents dans v1.0

🔍 Attribution : Confiance modérée basée sur la lignée de code partagée, les artefacts de build résiduels (exports KugouMain), les patterns infrastructurels et les erreurs OPSEC cohérentes avec les campagnes précédentes de Mustang Panda.

📄 Type d’article : Analyse technique et publication de recherche CTI visant à documenter les TTPs, les évolutions du malware et fournir des indicateurs exploitables aux défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Mustang Panda (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1218.001 — System Binary Proxy Execution: Compiled HTML File (Defense Evasion)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1082 — System Information Discovery (Discovery)
• T1059 — Command and Scripting Interpreter (Execution)

IOC

• Domaines : cosmosmusic.com — VT · URLhaus · ThreatFox
• Domaines : editor.gleeze.com — VT · URLhaus · ThreatFox
• URLs : https://cosmosmusic.com/music.js — URLhaus
• Fichiers : Request for Support.chm
• Fichiers : music.js
• Fichiers : Microsoft_DNX.exe
• Fichiers : archive_1.html
• Chemins : C:\Users\Public\Documents\Microsoft_DNX.exe

Malware / Outils

• LOTUSLITE (backdoor)
• LOTUSLITE v1.1 (backdoor)

🟢 Indice de vérification factuelle : 77/100 (haute)

• ✅ acronis.com — source reconnue (Rösti community) (20pts)
• ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
• ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 2/3 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 11 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : Mustang Panda (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• cosmosmusic.com (domain) → VT (13/94 détections)
• editor.gleeze.com (domain) → VT (14/94 détections)

🔗 Source originale : https://www.acronis.com/en/tru/posts/same-packet-different-magic-mustang-panda-hits-indias-banking-sector-and-korea-geopolitics/