LOTUSLITE: цільове шпигунство з використанням геополітичних тем
LOTUSLITE: цільове шпигунство з використанням геополітичних тем
Підрозділ Acronis Threat Research Unit виявив цілеспрямовану кампанію з розповсюдження шкідливого програмного забезпечення проти урядових установ США. Для атаки використовувався ZIP-архів з політичною назвою, що містив файл-завантажувач і шкідливу бібліотеку DLL. Цей файл завантажував і виконував бібліотеку DLL, яка функціонувала як основний бекдор, відомий під назвою LOTUSLITE.
01.04.2026
За матеріалами Іллі Дафчева та Сабхаджита Сінґхи (Ilia Dafchev, Subhajeet Singha), acronis.com
Хоча саме шкідливе ПЗ продемонструвало обмежену технічну складність, його вибіркове націлювання та контекстне використання приманок свідчать про навмисний вибір жертв.
Команда TRU вважає, що в цій кампанії задіяна хакерська група Mustang Panda. Про це говорять кілька помітних інфраструктурних збігів, моделей розгортання та операційних характеристик, що відповідають раніше задокументованим атакам.
Mustang Panda — це давно існуюча шпигунська організація, відома тим, що адаптує свої операції до поточних геополітичних подій. У своїй оперативній діяльності Mustang Panda віддає перевагу технікам середньої складності, що можуть повторюватися, зокрема, широкому використанню бічного завантаження DLL (DLL-sideloading) для розгортання спеціальних імплантів, тобто шкідливих програмних компонентів, які таємно встановлюються в систему і забезпечують нападнику прихований контроль над нею.
Розслідування почалося після виявлення архіву для цільового фішингу під назвою US now deciding what’s next for Venezuela.zip («Зараз США вирішують, що буде далі з Венесуелою»), який було завантажено для автоматичного аналізу з IP-адреси, географічно розташованої в США. Архів містив легітимний виконуваний файл і прихований нестандартний DLL-файл, що часто асоціюється з технікою Mustang Panda. Виконання бінарного файлу призвело до завантаження DLL-файлу через технологію DLL-sideloading, що дало змогу таємно виконати шкідливий код (DLL-sideloading — техніка атаки, під час якої зловмисник підсовує підроблену чи шкідливу DLL-бібліотеку, щоб її завантажила легітимна програма, верифікована системою).
Масив ініціалізаторів функцій містив кілька команд, пов'язаних із шаблоном коду, налаштування значень для м'ютексів і розташування каталогу для збереження, а також адресу сервера управління та контролю (C2). Слід зазначити, що віруси та імпланти часто створюють свій власний м’ютекс, щоб не заразити систему двічі.
Після завершення перших основних кроків бекдор переходить до виконання заздалегідь визначеного набору інструкцій, які зловмисник може динамічно використати.
Перша функція бекдору — створення інтерактивної оболонки cmd.exe з перенаправленим стандартним введенням-виведенням через анонімні канали. Це дає змогу віддалено виконувати команди та отримувати результати їх виконання в режимі реального часу.
Наступна функція дає зловмиснику можливість завершити роботу інтерактивної оболонки, яку спочатку запустив бекдор, за допомогою API TerminateProcess. Незалежно від команди зловмисника бекдор може також перелічити файли в кількох різних каталогах.
Ще одна функція — здатність бекдора виконувати різні операції з файлами, включаючи їх створення, додавання даних тощо.
Остання, але не менш важлива функція імплантату — перевірити стан поточного маяка та повідомити про це системі управління.
Сам запит ретельно оформлений так, щоб мати вигляд нешкідливого. Він використовує рядок Googlebot User-Agent, встановлює реферер на Google і представляє заголовок Host як домен Microsoft.
Згідно з аналізом Acronis, імплант встановлює вихідні з'єднання з цим сервером через TCP-порт 443, що відповідає спробам змішати зловмисний трафік із нормальною HTTPS-активністю.
На основі аналізу можна зробити висновок, що кампанію проводила організація Mustang Panda. Це припущення базується на кількох незалежних аналітичних доказах:
З помірною впевненістю цю діяльність можна приписати групі Mustang Panda, на що вказують методи та моделі поведінки, схожі на ті, що були зафіксовані в попередніх кампаніях.
Старт розслідування
Спеціалізований підрозділ компанії Acronis Threat Research Unit (TRU), у якому працюють досвідчені експерти з кібербезпеки, ШІ та аналізу кіберзагроз, активно відстежує кампанії з розповсюдження шкідливого програмного забезпечення, які експлуатують у ролі тематичної приманки нещодавні події геополітичного значення між США та Венесуелою. Недавно TRU виявив цільову кампанію з розповсюдження раніше не задокументованого бекдору на основі DLL, що відстежується як LOTUSLITE і спрямований на організації, пов'язані з урядом США.Хоча саме шкідливе ПЗ продемонструвало обмежену технічну складність, його вибіркове націлювання та контекстне використання приманок свідчать про навмисний вибір жертв.
Команда TRU вважає, що в цій кампанії задіяна хакерська група Mustang Panda. Про це говорять кілька помітних інфраструктурних збігів, моделей розгортання та операційних характеристик, що відповідають раніше задокументованим атакам.
Mustang Panda — це давно існуюча шпигунська організація, відома тим, що адаптує свої операції до поточних геополітичних подій. У своїй оперативній діяльності Mustang Panda віддає перевагу технікам середньої складності, що можуть повторюватися, зокрема, широкому використанню бічного завантаження DLL (DLL-sideloading) для розгортання спеціальних імплантів, тобто шкідливих програмних компонентів, які таємно встановлюються в систему і забезпечують нападнику прихований контроль над нею.
Розслідування почалося після виявлення архіву для цільового фішингу під назвою US now deciding what’s next for Venezuela.zip («Зараз США вирішують, що буде далі з Венесуелою»), який було завантажено для автоматичного аналізу з IP-адреси, географічно розташованої в США. Архів містив легітимний виконуваний файл і прихований нестандартний DLL-файл, що часто асоціюється з технікою Mustang Panda. Виконання бінарного файлу призвело до завантаження DLL-файлу через технологію DLL-sideloading, що дало змогу таємно виконати шкідливий код (DLL-sideloading — техніка атаки, під час якої зловмисник підсовує підроблену чи шкідливу DLL-бібліотеку, щоб її завантажила легітимна програма, верифікована системою).
Бічне завантаження DLL
При розгляді виконуваного файлу з назвою Maduro to be taken to New York.exe, який є перейменованим бінарним файлом запуску для сервісу потокового відтворення музики, з’ясувалося, що він завантажує шкідливу DLL-бібліотеку під назвою kugou.dll. Цей файл виявився бекдором (який TRU відстежує як LOTUSLITE), що мав одну мету — надати зловмиснику доступ і виконати певні команди залежно від обставин.Масив ініціалізаторів функцій містив кілька команд, пов'язаних із шаблоном коду, налаштування значень для м'ютексів і розташування каталогу для збереження, а також адресу сервера управління та контролю (C2). Слід зазначити, що віруси та імпланти часто створюють свій власний м’ютекс, щоб не заразити систему двічі.
Після завершення перших основних кроків бекдор переходить до виконання заздалегідь визначеного набору інструкцій, які зловмисник може динамічно використати.
Перша функція бекдору — створення інтерактивної оболонки cmd.exe з перенаправленим стандартним введенням-виведенням через анонімні канали. Це дає змогу віддалено виконувати команди та отримувати результати їх виконання в режимі реального часу.
Наступна функція дає зловмиснику можливість завершити роботу інтерактивної оболонки, яку спочатку запустив бекдор, за допомогою API TerminateProcess. Незалежно від команди зловмисника бекдор може також перелічити файли в кількох різних каталогах.
Ще одна функція — здатність бекдора виконувати різні операції з файлами, включаючи їх створення, додавання даних тощо.
Остання, але не менш важлива функція імплантату — перевірити стан поточного маяка та повідомити про це системі управління.
Командування та контроль
Імплант використовує API Windows WinHTTP для підключення до свого сервера керування та контролю, що допомагає йому вписатися в звичайний вебтрафік. Після налаштування сеансу HTTP і застосування тривалих значень таймауту він підключається до віддаленого сервера та готує запит POST до кінцевої точки, схожої на API.Сам запит ретельно оформлений так, щоб мати вигляд нешкідливого. Він використовує рядок Googlebot User-Agent, встановлює реферер на Google і представляє заголовок Host як домен Microsoft.
Повідомлення з посиланням на національну ідентичність
Динамічна бібліотека експортує дві цікаві фіктивні функції, що використовуються лише для доставки повідомлень. Вони містять вставлені розробником повідомлення, які, здається, посилаються на національну ідентичність. Одна функція включає текст, який дистанціює автора від російського походження, а інша містить заяву з твердженням про китайську самоідентифікацію.Інфраструктурні артефакти
Проаналізовані зразки комунікували з сервером управління та контролю, що розташований у Феніксі, штат Аризона (США), і є частиною інфраструктури провайдера, який зазвичай асоціюється з динамічним DNS і хостинговими послугами.Згідно з аналізом Acronis, імплант встановлює вихідні з'єднання з цим сервером через TCP-порт 443, що відповідає спробам змішати зловмисний трафік із нормальною HTTPS-активністю.
На основі аналізу можна зробити висновок, що кампанію проводила організація Mustang Panda. Це припущення базується на кількох незалежних аналітичних доказах:
- Використання схожих технік запуску виконуваних файлів — деякі файли вже використовувалися Mustang Panda для атак на організації в європейському регіоні (про що йшлося у звіті Cisco Talos 2022).
- Імітація імплантом, який відстежується як LotusLite, поведінки ClaimLoader (вбудовування провокаційних повідомлень). Така поведінка спостерігалася в кількох кампаніях, пов'язаних з Mustang Panda, — це відстежили дослідники з IBM-XForce протягом травня 2025 року.
З помірною впевненістю цю діяльність можна приписати групі Mustang Panda, на що вказують методи та моделі поведінки, схожі на ті, що були зафіксовані в попередніх кампаніях.
Сертифіковані фахівці компанії Мегатрейд допоможуть обрати оптимальні рішення з кібербезпеки для персональних девайсів і цифрових систем вашого бізнесу: secsystems@megatrade.ua, (044) 538-00-06
Кібератака на британську ритейл-мережу Co-op: порожні полиці та збитки на сотні мільйонів фунтів
Найкраща безпека для особистого ПК: практичні поради від Acronis True Image