Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Operazione LOTUSLITE negli USA: spear phishing geopolitico e DLL side loading colpiscono enti pubblici con backdoor invisibile
Una nuova campagna di cyber spionaggio ha preso di mira enti governativi e organizzazioni legate alle politiche pubbliche negli Stati Uniti, sfruttando esche a tema geopolitico per distribuire una backdoor chiamata LOTUSLITE. Il vettore iniziale è un attacco di spear phishing che fa leva su contenuti collegati alle tensioni tra Stati Uniti e Venezuela, un contesto ideale per aumentare la credibilità delle email e spingere l’utente ad aprire allegati apparentemente rilevanti.
Il payload viene consegnato tramite un archivio ZIP che contiene una DLL malevola. La catena di esecuzione punta su una tecnica considerata affidabile e spesso usata in campagne mirate, il DLL side loading. In pratica, un eseguibile legittimo viene usato per caricare una libreria DLL con lo stesso nome atteso o in una posizione controllata, consentendo l’avvio del codice malevolo senza ricorrere a exploit complessi. Questo approccio riduce la dipendenza da vulnerabilità zero-day e aumenta la probabilità di successo nelle infrastrutture dove le patch sono aggiornate, ma la superficie di attacco legata agli utenti resta esposta.
L’attribuzione operativa è collegata con confidenza moderata a un gruppo sponsorizzato da uno stato, noto per l’uso ricorrente di tecniche simili e per l’impiego di backdoor basate su DLL. LOTUSLITE risulta un impianto personalizzato in C++ che comunica con un server di comando e controllo tramite le API WinHTTP di Windows. Il malware effettua beaconing periodico e supporta task remoti, inclusa l’esecuzione di comandi attraverso cmd.exe e funzioni di esfiltrazione dati.
Tra le capacità osservate spiccano l’avvio e la terminazione di una shell remota, l’invio di comandi, il reset dello stato di beacon, l’enumerazione dei file in una cartella e operazioni basilari su file come creazione e append di dati. Per mantenere l’accesso, LOTUSLITE può impostare persistenza tramite modifiche al Registro di sistema, così da riavviarsi automaticamente a ogni login dell’utente.
La campagna evidenzia come tecniche semplici ma collaudate, combinate con spear phishing mirato e lures geopolitici, possano restare efficaci anche senza sofisticate funzioni di evasione, soprattutto contro target ad alto valore come enti pubblici e policy maker.