Una nuova campagna di cyber spionaggio ha preso di mira enti governativi e organizzazioni legate alle politiche pubbliche negli Stati Uniti, sfruttando esche a tema geopolitico per distribuire una backdoor chiamata LOTUSLITE. Il vettore iniziale è un attacco di spear phishing che fa leva su contenuti collegati alle tensioni tra Stati Uniti e Venezuela, un contesto ideale per aumentare la credibilità delle email e spingere l’utente ad aprire allegati apparentemente rilevanti.

Il payload viene consegnato tramite un archivio ZIP che contiene una DLL malevola. La catena di esecuzione punta su una tecnica considerata affidabile e spesso usata in campagne mirate, il DLL side loading. In pratica, un eseguibile legittimo viene usato per caricare una libreria DLL con lo stesso nome atteso o in una posizione controllata, consentendo l’avvio del codice malevolo senza ricorrere a exploit complessi. Questo approccio riduce la dipendenza da vulnerabilità zero-day e aumenta la probabilità di successo nelle infrastrutture dove le patch sono aggiornate, ma la superficie di attacco legata agli utenti resta esposta.

L’attribuzione operativa è collegata con confidenza moderata a un gruppo sponsorizzato da uno stato, noto per l’uso ricorrente di tecniche simili e per l’impiego di backdoor basate su DLL. LOTUSLITE risulta un impianto personalizzato in C++ che comunica con un server di comando e controllo tramite le API WinHTTP di Windows. Il malware effettua beaconing periodico e supporta task remoti, inclusa l’esecuzione di comandi attraverso cmd.exe e funzioni di esfiltrazione dati.

Tra le capacità osservate spiccano l’avvio e la terminazione di una shell remota, l’invio di comandi, il reset dello stato di beacon, l’enumerazione dei file in una cartella e operazioni basilari su file come creazione e append di dati. Per mantenere l’accesso, LOTUSLITE può impostare persistenza tramite modifiche al Registro di sistema, così da riavviarsi automaticamente a ogni login dell’utente.

La campagna evidenzia come tecniche semplici ma collaudate, combinate con spear phishing mirato e lures geopolitici, possano restare efficaci anche senza sofisticate funzioni di evasione, soprattutto contro target ad alto valore come enti pubblici e policy maker.