Un grupo de amenazas vinculado a un estado ha sido descubierto ejecutando una operación de espionaje silenciosa pero cuidadosamente planificada contra el sector bancario de la India, utilizando un archivo firmado por Microsoft para introducir malware sin ser detectado por las defensas de seguridad. La campaña distribuye una nueva versión del backdoor LOTUSLITE mediante una técnica conocida como carga lateral de DLL (DLL sideloading), que aprovecha la confianza que los sistemas operativos depositan en archivos legítimos.

Un grupo de amenazas vinculado a un estado ha sido descubierto ejecutando una operación de espionaje silenciosa pero cuidadosamente planificada contra el sector bancario de India, utilizando un archivo firmado por Microsoft para colar malware más allá de las defensas de seguridad.

La campaña distribuye una nueva versión del backdoor LOTUSLITE mediante una técnica conocida como DLL sideloading, que explota la confianza que los sistemas operativos depositan en ejecutables legítimos.

En lugar de métodos ruidosos y disruptivos, el actor de la amenaza avanzó lentamente, mezclando la actividad maliciosa con el comportamiento normal del sistema.

El ataque comienza con un archivo ZIP temático sobre el sector bancario y financiero de India. Dentro del archivo se encuentra un ejecutable legítimo de Microsoft llamado Microsoft_DNX.exe, una herramienta real para desarrolladores que formaba parte del antiguo ecosistema ASP.NET Core.

Junto a él se oculta una DLL maliciosa diseñada para cargarse en el momento en que se ejecuta el binario. Como el ejecutable carga la DLL por nombre sin verificar su autenticidad ni una ruta completa del archivo, el atacante solo necesita colocar una DLL manipulada con el mismo nombre en la misma carpeta.

Cuando el usuario ejecuta el archivo, Windows carga la DLL maliciosa sin cuestionarlo, tratándola como parte de una aplicación de confianza.

Los analistas de la Unidad de Investigación de Amenazas (TRU) de Acronis identificaron esta nueva variante de LOTUSLITE durante el monitoreo activo de campañas de malware vinculadas a desarrollos geopolíticos en la región de Asia Occidental.

Los investigadores señalaron que el implante mostraba claros vínculos temáticos con las instituciones bancarias de India, con actividad observada alrededor de marzo de este año.

El equipo de TRU destacó el uso de un ejecutable firmado por Microsoft como una táctica deliberada para eludir los controles estándar de los endpoints, ya que la mayoría de los productos de seguridad confían implícitamente en los archivos firmados por Microsoft y rara vez generan alertas basadas únicamente en su ejecución.

Una vez instalado, el backdoor LOTUSLITE se conecta a un servidor de comando y control (C2) basado en DNS dinámico a través de HTTPS, haciendo que su tráfico parezca una comunicación web cifrada rutinaria.

El implante soporta acceso remoto a la shell, operaciones con archivos y gestión de sesiones, lo que le da al atacante un punto de apoyo persistente en la máquina comprometida.

El diseño del backdoor apunta claramente a objetivos de espionaje, ya que está construido para recopilar información y mantener acceso a largo plazo en lugar de causar una interrupción visible.

La atribución al clúster de actividad Mustang Panda, un grupo de amenazas persistentes avanzadas (APT) vinculado a China, se evalúa con confianza moderada basándose en patrones de infraestructura compartida y comportamientos operativos documentados por el equipo de TRU.

La campaña más amplia se conecta con actividad paralela dirigida a círculos geopolíticos relacionados con Corea.

Los investigadores encontraron que la misma infraestructura de LOTUSLITE se utilizó en campañas que hacían referencia a políticas coreanas y comunidades diplomáticas, lo que sugiere que el actor de la amenaza opera en múltiples frentes usando el mismo conjunto de herramientas principales, pero adaptando el material de señuelo para cada audiencia objetivo.

Este patrón coincide con el hábito de Mustang Panda de reutilizar métodos de entrega establecidos mientras modifica solo el contenido superficial.

DLL Sideloading: El mecanismo central de infección

El mecanismo de infección en el corazón de esta campaña depende por completo de la confianza del sistema operativo en el software firmado.

Cuando se ejecuta Microsoft_DNX.exe, carga dinámicamente la DLL de LOTUSLITE en tiempo de ejecución, resolviendo la función de exportación DnxMain, que transfiere la ejecución directamente al código controlado por el atacante.

El ejecutable fue elegido específicamente porque Windows lo reconoce como firmado, lo que significa que los productos de seguridad es poco probable que lo marquen.

Como carga la DLL solo por nombre de archivo sin verificar la ruta completa, el atacante solo necesita colocar el archivo malicioso en el mismo directorio para garantizar que se cargue.

Esta cadena de ejecución muestra cómo el binario firmado sirve como plataforma de lanzamiento para la carga maliciosa. Esta variante de LOTUSLITE también muestra claros signos de evolución.

El implante utiliza un valor mágico diferente en los paquetes de red de su C2 en comparación con campañas anteriores, lo que le ayuda a evitar reglas de detección escritas contra la firma antigua.

Los equipos de seguridad deben monitorear patrones inusuales de carga de DLL desde ejecutables legítimos de Microsoft y aplicar políticas de control de aplicaciones que restrinjan la carga de DLL a rutas de archivo verificadas.

Cualquier ejecutable firmado que cargue DLLs no verificadas desde directorios escribibles por el usuario debe tratarse como sospechoso, y las herramientas de detección en endpoints centradas en señales de comportamiento en lugar de solo en la reputación de archivos siguen siendo la defensa más efectiva contra este tipo de ataques.