Underc0de - La Casa de los Informáticos

Investigadores en ciberseguridad han revelado los detalles de una nueva campaña de malware dirigida que ha tenido como objetivo a entidades gubernamentales y organizaciones políticas de Estados Unidos, utilizando señuelos de temática geopolítica relacionados con las recientes tensiones entre Estados Unidos y Venezuela. La operación se apoya en la distribución de una puerta trasera personalizada denominada LOTUSLITE, desplegada mediante técnicas probadas de carga lateral de DLL, un método recurrente en campañas de ciberespionaje patrocinadas por Estados.

La actividad ha sido atribuida con confianza moderada a Mustang Panda, un conocido grupo de amenazas persistentes avanzadas (APT) vinculado a China, también rastreado bajo los nombres Earth Pret, HoneyMyte y Twill Typhoon. Este actor es ampliamente reconocido por su enfoque en campañas de spear phishing altamente dirigidas y por el uso consistente de técnicas de ejecución fiables, en lugar de exploits complejos, para asegurar el acceso inicial a los sistemas objetivo.

Señuelos políticos como vector de ataque

La campaña analizada utiliza un archivo ZIP con un nombre cuidadosamente diseñado para atraer la atención de sus víctimas:
"Estados Unidos decidiendo ahora qué sigue para Venezuela.zip".

El archivo malicioso aprovecha el contexto político y los recientes acontecimientos geopolíticos entre ambos países, una táctica clásica de ingeniería social que busca aumentar la probabilidad de interacción por parte de funcionarios, analistas políticos y personal gubernamental.

Dentro del archivo comprimido se encuentra una DLL maliciosa que se ejecuta mediante carga lateral DLL, una técnica que consiste en colocar una biblioteca manipulada junto a un ejecutable legítimo para que el sistema la cargue automáticamente. Aunque hasta el momento no se ha confirmado públicamente si la campaña logró comprometer con éxito a alguno de sus objetivos, los investigadores advierten que el riesgo operativo es elevado debido a la fiabilidad del método utilizado.

Atribución a Mustang Panda y patrón táctico conocido

Según los analistas de Acronis, Ilia Dafchev y Subhajeet Singha, la campaña presenta claras similitudes tácticas e infraestructurales con operaciones previas de Mustang Panda. En particular, destaca el uso reiterado de carga lateral de DLL para desplegar puertas traseras, una técnica que el grupo ha utilizado históricamente para lanzar implantes como TONESHELL y PUBLOAD.

Citar"Esta campaña refleja una tendencia continua de spear phishing dirigido usando señuelos geopolíticos, favoreciendo técnicas de ejecución fiables como la carga lateral DLL frente al acceso inicial basado en exploits", señalaron los investigadores.

Este enfoque demuestra una preferencia por la estabilidad operativa, minimizando errores y reduciendo la necesidad de vulnerabilidades zero-day, lo que hace que estas campañas sean más difíciles de detectar en entornos tradicionales.

Análisis técnico de la puerta trasera LOTUSLITE

La puerta trasera empleada en esta operación, identificada como "kugou.dll", corresponde a LOTUSLITE, un implante personalizado escrito en C++. El malware está diseñado para establecer comunicación con un servidor de comando y control (C2) cuya dirección se encuentra codificada de forma estática dentro del binario.

LOTUSLITE utiliza las APIs WinHTTP de Windows para realizar actividades de beaconing, recibir órdenes remotas y exfiltrar información. Entre sus capacidades más relevantes se encuentran:

• Ejecución remota de comandos mediante cmd.exe
• Enumeración de archivos y directorios
• Creación y modificación de archivos en el sistema
• Gestión del estado de comunicación con el servidor C2
• La lista de comandos soportados incluye, entre otros:
• 0x0A: iniciar una shell remota de CMD
• 0x0B: finalizar la shell remota
• 0x01: enviar comandos a través de la shell
• 0x03: enumerar archivos en una carpeta
• 0x0D / 0x0E: crear y modificar archivos
• 0x06 / 0x0F: gestionar el estado de la baliza

Persistencia y similitudes con campañas anteriores

LOTUSLITE también implementa mecanismos de persistencia, realizando modificaciones en el Registro de Windows para garantizar su ejecución automática cada vez que el usuario inicia sesión. Esta técnica permite al atacante mantener el acceso a largo plazo incluso tras reinicios del sistema.

Acronis destacó que la puerta trasera imita comportamientos previamente observados en Claimloader, una DLL utilizada por Mustang Panda para desplegar PUBLOAD. Claimloader fue documentado por IBM X-Force en junio de 2025, cuando se identificó en una campaña de ciberespionaje dirigida a la comunidad tibetana, lo que refuerza aún más la atribución.

Fiabilidad sobre sofisticación

Uno de los aspectos más relevantes de esta campaña es que LOTUSLITE no incorpora técnicas avanzadas de evasión, como ofuscación compleja o antianálisis agresivo. Sin embargo, su diseño se centra en funcionalidades básicas, estables y probadas, lo que resulta suficiente cuando se combina con entrega altamente dirigida y señuelos políticos creíbles.

Citar"Esta campaña demuestra cómo las técnicas simples y bien probadas pueden seguir siendo eficaces cuando se combinan con una entrega dirigida y señuelos geopolíticos relevantes", concluyó la empresa de ciberseguridad con sede en Singapur.

Contexto geopolítico y revelaciones paralelas

La divulgación de esta campaña coincide con un informe publicado por The New York Times, que detalla un supuesto ciberataque llevado a cabo por Estados Unidos para interrumpir el suministro eléctrico en Caracas durante varios minutos, previo a la operación militar del 3 de enero de 2026 que culminó con la captura del presidente venezolano Nicolás Maduro.

Según el medio, el corte eléctrico y la interferencia de radar permitieron la entrada de helicópteros militares estadounidenses sin ser detectados. El incidente dejó sin electricidad a gran parte de la capital venezolana, con algunos barrios afectados hasta por 36 horas.

En fin...

La campaña LOTUSLITE pone de relieve cómo el ciberespionaje moderno sigue apoyándose en ingeniería social, contextos políticos actuales y técnicas fiables para comprometer objetivos de alto valor. En un entorno internacional cada vez más tenso, este tipo de operaciones refuerzan la necesidad de concienciación, monitoreo avanzado y análisis de amenazas persistentes, especialmente en organizaciones gubernamentales y políticas.

Fuente: https://thehackernews.com/