Pesquisadores de segurança detectaram uma nova campanha de ciberespionagem que usou a alegada captura do presidente venezuelano Nicolás Maduro como isca para atingir funcionários do governo dos Estados Unidos e organizações ligadas à formulação de políticas públicas. A Acronis Threat Research Unit (TRU) atribuiu, com confiança moderada, a ofensiva ao grupo conhecido como Mustang Panda — também referido como UNC6384 ou Twill Typhoon —, um ator associado a interesses chineses e monitorado por agências ocidentais.
De acordo com a Acronis, a operação começou poucos dias após o episódio, em 3 de janeiro. Os analistas localizaram um arquivo ZIP submetido ao VirusTotal com o nome “EUA agora decidem o que vem a seguir para a Venezuela”, que simulava um relatório de análise política destinado a atrair funcionários públicos, analistas e especialistas em relações internacionais. Dentro do ZIP havia um executável legítimo acompanhado por uma biblioteca (DLL) maliciosa escondida — uma combinação que possibilita a técnica conhecida como DLL sideloading.
DLL sideloading funciona quando um programa confiável carrega, inadvertidamente, um componente malicioso no lugar de uma biblioteca legítima, permitindo que o código malicioso seja executado com a aparência de um processo legítimo. No caso identificado pela Acronis, esse método possibilitou a instalação de um backdoor inédito, batizado pelos pesquisadores de Lotuslite.
Lotuslite, escrito em C++, se comunica com um servidor de comando e controle configurado em um endereço IP fixo. Uma vez ativo, o malware é capaz de manter persistência na máquina infectada, estabelecer comunicações periódicas com os operadores e extrair dados do ambiente comprometido. Apesar das capacidades técnicas observadas, Santiago Pontiroli, líder de inteligência de ameaças da Acronis, afirmou que ainda não é possível confirmar se algum dos alvos teve seus sistemas efetivamente comprometidos.
A investigação aponta que a campanha foi precisa e seletiva, dirigida a órgãos governamentais e entidades de políticas públicas nos EUA, e não um ataque amplo ou aleatório. Esse padrão oportunista — explorar acontecimentos internacionais recentes para aumentar a efetividade das iscas — já havia sido observado em operações anteriores atribuídas ao mesmo grupo, que costuma usar temas como conferências diplomáticas e eventos políticos regionais.
Especialistas em segurança lembram que ferramentas como EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) podem ajudar a identificar e bloquear variantes conhecidas de malwares como o Lotuslite, além de detectar comportamentos associados a técnicas como DLL sideloading. A Acronis segue acompanhando a campanha e compartilhando detalhes técnicos para apoiar a detecção e mitigação do ataque.
