Güvenlik uzmanları, ABD hükümetini ve politika kuruluşlarını hedef alan ve siyasi temalı tuzaklar kullanarak bir arka kapı açmayı amaçlayan yeni bir kampanyanın ayrıntılarını açıkladı. LOTUSLITE.
Hedeflenen kötü amaçlı yazılım kampanyası, DLL yandan yükleme teknikleri kullanılarak başlatılan kötü amaçlı bir DLL içeren bir ZIP arşivi dağıtmak için ABD ile Venezuela arasındaki son jeopolitik gelişmelerle ilgili tuzaklardan yararlanıyor (“ABD artık Venezuela.zip için sırada ne olacağına karar veriyor”). Kampanyanın hedeflerden herhangi birini başarıyla aşmayı başardığı bilinmiyor.
Faaliyet, taktik ve altyapı modellerine atıfta bulunularak, Mustang Panda (diğer adıyla Earth Pret, HoneyMyte ve Twill Typhoon) olarak bilinen Çin devleti destekli bir gruba orta düzeyde bir güvenle atfedildi. Tehdit aktörünün, TONESHELL de dahil olmak üzere arka kapılarını açmak için büyük ölçüde DLL yan yüklemesine güvenmesiyle tanındığını belirtmekte fayda var.
Acronis araştırmacıları Ilia Dafchev ve Subhajeet Singha bir analizde şunları söyledi: “Bu kampanya, jeopolitik tuzaklar kullanan hedefli hedef odaklı kimlik avı eğilimini yansıtıyor ve istismar tabanlı ilk erişim yerine DLL yan yükleme gibi güvenilir yürütme tekniklerini tercih ediyor.”
Saldırıda kullanılan arka kapı (“kugou.dll”) LOTUSLITE, işaretçi etkinliğini, “cmd.exe” kullanarak uzaktan görev yapmayı ve veri sızmasını etkinleştirmek için Windows WinHTTP API’lerini kullanan sabit kodlu bir komut ve kontrol (C2) sunucusuyla iletişim kurmak üzere tasarlanmış özel bir C++ implantıdır. Desteklenen komutların tam listesi aşağıdaki gibidir:
- 0x0A, uzak bir CMD kabuğu başlatmak için
- 0x0B, uzak kabuğu sonlandırmak için
- 0x01, uzak kabuk aracılığıyla komut göndermek için
- 0x06, işaret durumunu sıfırlamak için
- 0x03, bir klasördeki dosyaları numaralandırmak için
- 0x0D, boş bir dosya oluşturmak için
- 0x0E, bir dosyaya veri eklemek için
- 0x0F, işaret durumunu almak için
LOTUSLITE ayrıca, kullanıcının sisteme her giriş yaptığında otomatik olarak yürütülmesini sağlamak için Windows Kayıt Defteri değişiklikleri yaparak kalıcılık sağlama yeteneğine de sahiptir.
Acronis, arka kapının “kışkırtıcı mesajlar yerleştirerek Claimloader’ın davranışsal saçmalıklarını taklit ettiğini” söyledi. Talep Yükleyici, DLL yandan yükleme kullanılarak başlatılan ve başka bir Mustang Panda aracı olan PUBLOAD’u dağıtmak için kullanılan bir DLL dosyasına atanan addır. Kötü amaçlı yazılım ilk olarak Haziran 2025’te Tibet topluluğuna yönelik bir siber casusluk kampanyasıyla bağlantılı olarak IBM X-Force tarafından belgelendi.
Singapurlu siber güvenlik şirketi, “Bu kampanya, basit ve iyi test edilmiş tekniklerin, hedeflenen teslimat ve ilgili jeopolitik cazibelerle eşleştirildiğinde hala ne kadar etkili olabileceğini gösteriyor.” dedi. “LOTUSLITE arka kapısı gelişmiş kaçınma özelliklerine sahip olmasa da, DLL yan yüklemesi, güvenilir yürütme akışı ve temel komut ve kontrol işlevselliği kullanımı, karmaşıklıktan ziyade operasyonel güvenilirliğe odaklanmayı yansıtıyor.”
Açıklama, New York Times’ın, Venezüella Devlet Başkanı Nicolás Maduro’yu ele geçiren 3 Ocak 2026 askeri operasyonundan önce, başkent Caracas’ta yaşayanların çoğunun elektriğini birkaç dakikalığına kesintiye uğratmak amacıyla ABD tarafından gerçekleştirilen sözde siber saldırıyla ilgili ayrıntıları yayınlamasının ardından geldi. Misyon
Times’ın haberine göre, “Karakas’ta elektriğin kesilmesi ve radara müdahale edilmesi, ABD askeri helikopterlerinin, şu anda uyuşturucu suçlamalarıyla yüzleşmek üzere ABD’ye getirilen Venezuela başkanı Nicolás Maduro’yu yakalama görevi sırasında fark edilmeden ülkeye girmesine olanak tanıdı.”
“Saldırı, Caracas sakinlerinin çoğunun birkaç dakikalığına elektriklerini kaybetmesine neden oldu, ancak Bay Maduro’nun yakalandığı askeri üssün yakınındaki bazı mahalleler 36 saate kadar elektriksiz kaldı.”