Expertos en seguridad han revelado detalles de una nueva campaña dirigida al gobierno y a entidades políticas de Estados Unidos que utiliza cebos de temática política para crear una puerta trasera llamada ” LOTUSLITA.
La campaña de malware dirigido utiliza señuelos relacionados con acontecimientos geopolíticos recientes entre EE. UU. y Venezuela para distribuir un archivo ZIP (“EE. UU. ahora decide qué sigue para Venezuela.zip”) que contiene una DLL maliciosa que se inicia utilizando técnicas de descarga de DLL. Se desconoce si la campaña logró comprometer con éxito alguno de los objetivos.
La actividad se atribuyó con moderada confianza a un grupo patrocinado por el estado chino llamado Mustang Panda (también conocido como Earth Pret, HoneyMyte y Twill Typhoon), citando patrones tácticos y de infraestructura. Vale la pena señalar que se sabe que el actor de amenazas depende en gran medida de la descarga de DLL para lanzar sus puertas traseras, incluido TONESHELL.
“Esta campaña refleja la tendencia actual de phishing dirigido utilizando señuelos geopolíticos, que favorece técnicas de ejecución confiables como la descarga de DLL en lugar del primer acceso basado en exploits”, dijeron en un análisis los investigadores de Acronis, Ilia Dafchev y Subhajeet Singha.
La puerta trasera (“kugou.dll”) utilizada en el ataque, LOTUSLITE, es un implante C++ personalizado diseñado para comunicarse con un servidor de comando y control (C2) codificado a través de las API WinHTTP de Windows para permitir actividades de balizamiento, tareas remotas usando cmd.exe y exfiltración de datos. La lista completa de comandos admitidos es la siguiente:
- 0x0A para iniciar un shell CMD remoto
- 0x0B para salir del shell remoto
- 0x01 para enviar comandos a través del shell remoto
- 0x06 para restablecer el estado de la baliza
- 0x03 para listar archivos en una carpeta
- 0x0D para crear un archivo vacío
- 0x0E para agregar datos a un archivo
- 0x0F para obtener el estado de la baliza
LOTUSLITE también es capaz de establecer persistencia mediante cambios en el registro de Windows para garantizar que se ejecute automáticamente cada vez que el usuario inicia sesión en el sistema.
Acronis dijo que la puerta trasera “imita las travesuras de comportamiento de Claimloader al incorporar mensajes provocativos”. Claimloader es el nombre asignado a una DLL que se inicia mediante la descarga de DLL y se utiliza para implementar PUBLOAD, otra herramienta de Mustang Panda. El malware fue documentado por primera vez en junio de 2025 por IBM X-Force en relación con una campaña de ciberespionaje contra la comunidad tibetana.
“Esta campaña demuestra cómo técnicas simples y bien probadas pueden seguir siendo efectivas cuando se combinan con entregas específicas y atractivos geopolíticos relevantes”, concluyó la firma de ciberseguridad de Singapur. “Aunque la puerta trasera LOTUSLITE carece de funciones de derivación avanzadas, el uso de carga lateral de DLL, flujo de ejecución confiable y funciones básicas de comando y control refleja un enfoque en la confiabilidad operativa en lugar de la sofisticación”.
La revelación se produjo cuando The New York Times publicó detalles de un presunto ciberataque llevado a cabo por Estados Unidos para cortar el suministro eléctrico a la mayoría de los residentes de la capital, Caracas, durante varios minutos antes de una operación militar el 3 de enero de 2026 que capturó al presidente venezolano Nicolás Maduro. la mision
“El corte de energía en Caracas y la interferencia del radar permitieron que helicópteros militares estadounidenses ingresaran al país sin ser detectados para capturar a Nicolás Maduro, el presidente venezolano que ahora ha sido llevado a Estados Unidos para enfrentar cargos por drogas”, informó el Times.
“El ataque provocó que la mayoría de los residentes de Caracas se quedaran sin electricidad durante varios minutos, aunque algunos barrios cercanos a la base militar donde fue capturado el señor Maduro permanecieron sin electricidad hasta por 36 horas”.
About The Author
