Den kinesiskt kopplade spionagegruppen Mustang Panda har utökat sina operationer med en ny variant av skadlig kod kallad LOTUSLITE. Den här gången riktar sig gruppen mot den indiska banksektorn och politiska kretsar i Sydkorea och USA.

Ny variant av LOTUSLITE

Säkerhetsforskare på Acronis har upptäckt en uppdaterad version av LOTUSLITE som visar "inkrementella förbättringar" jämfört med tidigare versioner. Bakdörren kommunicerar med en dynamisk DNS-baserad kommando- och kontrollserver över HTTPS och stödjer fjärrskal, filoperationer och sessionshantering.

"Kapaciteten som beskrivs, inklusive fjärrskal, filhantering och sessionskontroll, stämmer mer överens med spionageverksamhet än ekonomiskt motiverad skadlig kod", skriver Acronis forskare Subhajeet Singha och Santiago Pontiroli.

Så går attacken till

Attacken börjar med en kompilerad HTML-fil (CHM) som innehåller de skadliga komponenterna: en legitim körbar fil och en manipulerad DLL-fil. Filen visar en popup som uppmanar användaren att klicka "Yes", vilket i tysthet hämtar och kör JavaScript-baserad skadlig kod från en fjärrserver.

Genom DLL-sideloading laddas den uppdaterade LOTUSLITE-bakdörren som sedan kommunicerar med angriparnas server för att ta emot kommandon och exfiltrera data.

Bredare måltavlor

Det som utmärker den senaste kampanjen är den geografiska pivoten. Tidigare riktade sig Mustang Panda främst mot amerikanska myndigheter med geopolitiska lockbeten. Nu har gruppen utökat till:

• Indiens banksektor, med lockbeten som utger sig för att vara programvara från HDFC Bank
• Sydkoreanska och amerikanska diplomatiska kretsar, särskilt personer involverade i frågor kring Koreahalvön och säkerhetsdialog i Indo-Stillahavsregionen

Leveransen sker via förfalskade Gmail-konton och Google Drive som mellanlagringsplats.

Vem är Mustang Panda?

Mustang Panda (även känd som Bronze President, Earth Preta, HoneyMyte och RedDelta) är en kinesisk statligt kopplad spionagegrupp som har varit aktiv i flera år. Gruppen är känd för att använda spear-phishing och DLL-sideloading för att kompromettera mål inom myndigheter, diplomati och nu även finanssektorn.

Organisationer inom bank, diplomati och politik bör vara extra vaksamma på misstänkta CHM-filer och oväntade mejl med bilagor, särskilt de som utger sig för att komma från kända institutioner.