Campanha usa arquivos CHM, carregamento lateral de DLL e infraestrutura de DNS dinâmico para manter acesso remoto em operações com perfil de espionagem.
| Componente | Backdoor LOTUSLITE em variante atualizada, entregue com arquivo CHM, executável legítimo e DLL maliciosa dnx.onecore.dll. |
| Vetor | Arquivo Compiled HTML com tema ligado ao setor bancário indiano exibe pop-up para interação do usuário e aciona JavaScript remoto para extrair e executar os componentes embutidos. |
| Impacto | Acesso remoto por shell, operações com arquivos, gerenciamento de sessão, comunicação HTTPS com C2 baseado em DNS dinâmico e possível exfiltração de dados de interesse. |
| Prioridade | Investigar abertura de arquivos CHM inesperados, carregamento lateral envolvendo dnx.onecore.dll e tráfego HTTPS para domínios defangados associados à campanha. |
| Artefatos | Foram citados dnx.onecore.dll, cosmosmusic[.]com e editor.gleeze[.]com como elementos relevantes da cadeia. |
| Alvos | A campanha citada envolve referências ao setor bancário da Índia e artefatos voltados a círculos políticos, diplomáticos e de política externa relacionados à península coreana. |
Uma nova variante do LOTUSLITE foi observada em uma campanha atribuída com confiança média ao grupo Mustang Panda, conhecido por operações de espionagem com iscas geopolíticas. A atividade representa uma expansão de foco: além de campanhas anteriores contra entidades governamentais e de formulação de políticas dos Estados Unidos com temas ligados à relação entre Estados Unidos e Venezuela, os artefatos recentes apontam para o setor bancário da Índia e para círculos políticos e diplomáticos ligados à Coreia do Sul, Estados Unidos, discussões sobre a Coreia do Norte e segurança no Indo-Pacífico.
O conjunto técnico preserva um fluxo operacional já associado a campanhas de intrusão orientadas a coleta de informação, mas adiciona melhorias incrementais à variante do backdoor. O LOTUSLITE se comunica com servidor de comando e controle baseado em DNS dinâmico por HTTPS e mantém recursos de shell remoto, manipulação de arquivos e controle de sessão. Esses recursos sustentam acesso persistente e interação manual ou semiautomatizada com o ambiente comprometido, sem que o material analisado indique motivação financeira direta, ransomware ou exploração pública de vulnerabilidade.
A cadeia começa com um arquivo Compiled HTML, ou CHM, que carrega payloads embutidos. O pacote inclui um executável legítimo, uma DLL maliciosa e uma página HTML que apresenta um pop-up pedindo confirmação do usuário. Essa interação é usada como etapa de engajamento para viabilizar a recuperação silenciosa de um malware JavaScript hospedado remotamente. O JavaScript tem como função principal extrair e executar os componentes já presentes dentro do CHM, reduzindo a necessidade de múltiplos downloads explícitos no endpoint.
A execução final depende de carregamento lateral de DLL. Nesse modelo, um executável legítimo é usado para carregar uma biblioteca maliciosa com nome esperado no caminho de execução. O artefato citado nessa campanha é dnx.onecore.dll, descrito como uma versão atualizada do LOTUSLITE. Depois de carregado, o backdoor estabelece comunicação HTTPS com infraestrutura de comando e controle, incluindo o domínio defangado editor.gleeze[.]com, para receber instruções e transmitir dados considerados relevantes pelo operador.
Outro domínio citado, cosmosmusic[.]com, aparece como ponto remoto associado à recuperação do JavaScript que auxilia a extração e execução do conteúdo do CHM. A presença de DNS dinâmico no C2 aumenta a necessidade de correlação por comportamento, porque a infraestrutura pode mudar sem alterar necessariamente o padrão de execução local: abertura de CHM, extração de artefatos, carregamento lateral e tráfego HTTPS subsequente para domínios não esperados.
A superfície de risco envolve usuários e estáções capazes de abrir arquivos CHM recebidos por canais externos, especialmente quando o conteúdo usa temas convincentes para o público-alvo. Na amostra ligada à Índia, os artefatos incorporam referências ao HDFC Bank e usam pop-ups que simulam software bancário legítimo. Em alvos ligados à Coreia do Sul e aos Estados Unidos, o material analisado cita falsificação de contas Gmail, uso de Google Drive para estágio de entrega e impersonação de figura proeminente em diplomacia relacionada à península coreana.
O impacto deve ser avaliado como intrusão orientada a espionagem, não como incidente financeiro confirmado. O backdoor permite interação remota e operações sobre arquivos, mas o contexto não sustenta afirmar roubo bancário, fraude em contas, ransomware, exploração ativa de CVE ou comprometimento amplo de redes. A prioridade para defesa é identificar o caminho de execução e interromper comunicações de comando e controle antes que o operador consiga ampliar coleta ou manter sessões ativas.
- Estáções de usuários que receberam ou abriram arquivos CHM com temas bancários, diplomáticos ou políticos.
- Ambientes onde executáveis legítimos carregaram a DLL
dnx.onecore.dlla partir de diretórios incomuns ou recém-criados. - Contas de e-mail expostas a mensagens com impersonação, anexos CHM ou links para arquivos em serviços de armazenamento usados como estágio.
- Organizações ligadas ao setor bancário indiano, política externa, diplomacia, península coreana e debates de segurança no Indo-Pacífico.
A investigação deve começar pela telemetria de endpoint relacionada a CHM, extração de conteúdo e carregamento de DLL. O sinal mais importante não é apenas a presença de um arquivo isolado, mas a sequência: recebimento de isca, abertura do CHM, execução de componente auxiliar, carregamento de biblioteca com nome específico e tráfego HTTPS para domínio raro ou associado a DNS dinâmico. Em ambientes com EDR, eventos de criação de processo e carregamento de módulo ajudam a diferenciar uso legítimo de documentação CHM de execução encadeada com payload.
Na camada de rede, a defesa deve procurar comunicações HTTPS iniciadas logo após a abertura do CHM ou após o carregamento de dnx.onecore.dll. Os domínios cosmosmusic[.]com e editor.gleeze[.]com devem ser tratados como indicadores defangados para correlação histórica, enriquecimento e bloqueio conforme a política local. Em identidade e e-mail, mensagens com remetentes Gmail falsificados, temas diplomáticos ou bancários e links para Google Drive devem ser revisadas junto com eventos de download, execução e alertas de reputação.
- Abertura de arquivos CHM recebidos por e-mail, link externo ou armazenamento em nuvem.
- Carregamento de
dnx.onecore.dllpor executável legítimo em contexto de usuário. - Tráfego HTTPS para
editor.gleeze[.]comou infraestrutura classificada internamente como DNS dinâmico incomum. - Acesso a
cosmosmusic[.]compróximo ao momento de extração ou execução de artefatos. - Mensagens com temas de HDFC Bank, península coreana, política sobre Coreia do Norte ou diálogos de segurança no Indo-Pacífico.
A resposta deve priorizar contenção de endpoints que executaram CHM suspeito ou apresentaram carregamento lateral da DLL citada. Como o fluxo depende de interação do usuário e execução local, controles de e-mail, filtragem de anexos, bloqueio de CHM não autorizado e inspeção de links para armazenamento em nuvem reduzem a chance de ativação. Em paralelo, equipes de segurança devem revisar regras de allowlist para impedir que executáveis legítimos carreguem DLLs a partir de diretórios controlados pelo usuário ou locais temporários.
Após a contenção, é necessário validar persistência, sessões remotas e possíveis arquivos acessados pelo backdoor. O material analisado indica capacidades de shell remoto, operações com arquivos e gerenciamento de sessão; portanto, a investigação deve correlacionar eventos de processo, acesso a arquivos sensíveis, conexões HTTPS e autenticações próximas à janela de execução. A erradicação deve incluir remoção dos artefatos, bloqueio dos domínios defangados, revisão de caixa postal e armazenamento em nuvem usados na entrega e caça retroativa por variações do mesmo encadeamento.
- Bloquear ou colocar em quarentena arquivos CHM inesperados recebidos de fontes externas.
- Criar detecções para carregamento de
dnx.onecore.dllfora de caminhos legítimos conhecidos. - Bloquear e investigar comunicações com
cosmosmusic[.]comeeditor.gleeze[.]comem formato defangado nas ferramentas internas. - Revisar mensagens com impersonação via Gmail e links para Google Drive usados como estágio de entrega.
- Coletar imagem forense ou pacote de triagem de endpoints afetados antes de remover artefatos quando houver suspeita de sessão remota ativa.
0 Comentários