Um grupo de ciberespionagem ligado à China utilizou a captura do presidente venezuelano Nicolás Maduro como tema de uma campanha para infectar sistemas de funcionários do governo dos Estados Unidos. A ofensiva, que começou em 3 de janeiro, usou documentos falsos sobre os próximos passos dos EUA na Venezuela para atrair as vítimas.
A Acronis Threat Research Unit (TRU) identificou o grupo Mustang Panda como responsável pelo ataque. O grupo, também conhecido como UNC6384 ou Twill Typhoon, usou a técnica de DLL sideloading para instalar o malware Lotuslite. O software malicioso permite a persistência no sistema infectado e a extração de dados.
Ataque utilizou documentos falsos
A investigação começou após a descoberta de um arquivo ZIP com o nome “EUA agora decidem o que vem a seguir para a Venezuela”. O arquivo, que simulava um material de análise política, continha um executável legítimo acompanhado de um DLL malicioso, o que possibilitou a instalação do backdoor Lotuslite.
O malware, desenvolvido em C++, se comunica com um servidor de comando e controle. Após a instalação, o Lotuslite é capaz de manter persistência no sistema, comunicar-se com os operadores e extrair dados.
A campanha foi direcionada a órgãos governamentais e entidades ligadas à formulação de políticas públicas nos EUA. A Acronis informou que ainda não é possível confirmar se houve comprometimento dos sistemas.
Especialistas indicam que soluções de segurança podem auxiliar na identificação e bloqueio de variantes do Lotuslite. O grupo Mustang Panda já utilizou temas relacionados a eventos internacionais em ataques anteriores.
Ainda não há informações sobre os resultados da campanha, nem quais dados foram, possivelmente, acessados.
Quer receber mais notícias? Acesse nosso canal no WhatsApp.
Entrar no canal do WhatsApp
