El Grupo de Espionaje Cibernético vinculado a China rastreado como Lotus Panda se ha atribuido a una campaña que comprometió múltiples organizaciones en un país del sudeste asiático sin nombre entre agosto de 2024 y febrero de 2025.
«Los objetivos incluían un ministerio gubernamental, una organización de control de tráfico aéreo, un operador de telecomunicaciones y una empresa de construcción», dijo el equipo de cazadores de amenazas de Symantec en un nuevo informe compartido con Hacker News. «Los ataques involucraron el uso de múltiples herramientas personalizadas nuevas, incluidos cargadores, robadores de credenciales y una herramienta SSH inversa».
También se dice que el set de intrusión se dirigió a una agencia de noticias ubicada en otro país del sudeste asiático y una organización de carga aérea ubicada en otro país vecino.
El grupo de amenazas, según la División de Ciberseguridad de Broadcom, se evalúa como una continuación de una campaña que fue revelada por la compañía en diciembre de 2024 como una organización de alto perfil en el sudeste asiático desde al menos octubre de 2023.
Luego, el mes pasado, Cisco Talos conectó al actor de Lotus Panda con intrusiones dirigidas al gobierno, la fabricación, las telecomunicaciones y los sectores de medios en Filipinas, Vietnam, Hong Kong y Taiwán con una puerta trasera conocida como Sagerunex.
Lotus Panda (también conocido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip) tiene una historia de orquestar ataques cibernéticos contra gobiernos y organizaciones militares en el sudeste asiático.
Se cree que es activo desde al menos 2009, el grupo estuvo bajo el centro de atención por primera vez en junio de 2015, cuando Palo Alto Networks atribuyó al actor de amenaza a una campaña persistente de phishing de lanza que explotó una falla de Microsoft Office (CVE-2012-0158) para distribuir un backdoor Dubbed Elise (AKA Trensil) que está diseñado para exámenes y lecturas de lectura y lectura.
Los ataques posteriores montados por el grupo han armado un defecto de Microsoft Windows Ole (CVE-2014-6332) a través de un archivo adjunto atrapado en un bacto enviado en un correo electrónico de Phishing de lanza a un individuo que trabaja para el Ministerio de Asuntos Exteriores franceses en Taiwán para desplegar otro trojano relacionado con el ELISE Codenamed Emissary.
En la última ola de ataques vistos por Symantec, los atacantes han aprovechado los ejecutables legítimos de Trend Micro («TMDBGlog.exe») y Bitdefender («BDS.EXE») a los archivos DLL maliciosos, que actúan como cargadores para descifrar y lanzar una carga útil de la próxima etapa en un archivo almacenado localizado.
El binario bitdefender también se ha utilizado para dejar de revelar otra DLL, aunque la naturaleza exacta del archivo no está clara. Otro aspecto desconocido de la campaña es el vector de acceso inicial utilizado para llegar a las entidades en cuestión.
Los ataques allanaron el camino para una versión actualizada de Sagerunex, una herramienta utilizada exclusivamente por Lotus Panda. Viene con capacidades para recolectar información del host del objetivo, encriptarla y exfiltrar los detalles a un servidor externo bajo el control del atacante.
También se implementan en los ataques una herramienta SSH inversa, y dos robadores de credenciales Chromekatz y Credentialkatz que están equipados para desviar las contraseñas y las cookies almacenadas en el navegador web Google Chrome.
«Los atacantes desplegaron la herramienta de pares ZROK disponible públicamente, utilizando la función de intercambio de la herramienta para proporcionar acceso remoto a los servicios que se expusieron internamente», dijo Symantec. «Otra herramienta legítima utilizada se llamó ‘DataChanger.exe’. Es capaz de cambiar las marcas de tiempo para los archivos, presumiblemente para enturbiar las aguas para los analistas de incidentes.