Crise na Venezuela é usada como isca em ataques de phishing contra autoridades nos EUA

Foram divulgados detalhes de uma nova campanha de spear phishing que tem como alvo entidades governamentais e políticas dos Estados Unidos, usando temas geopolíticos relacionados à Venezuela para disseminar um backdoor denominado LOTUSLITE. A ação foi atribuída com confiança moderada ao grupo hacker Mustang Panda, associado à China.

Segundo a análise, os invasores enviaram e-mails com temática sobre os recentes desdobramentos envolvendo os EUA e a Venezuela, convidando o destinatário a abrir um arquivo ZIP (“US now deciding what’s next for Venezuela.zip”). No interior desse arquivo estava uma biblioteca dinâmica (DLL) maliciosa que é carregada por meio de uma técnica conhecida como DLL side-loading quando um arquivo DLL malicioso é carregado por um executável legítimo, contornando muitas soluções de segurança.

O backdoor LOTUSLITE, identificado como “kugou.dll”, é um implant customizado em C++ projetado para comunicar-se com um servidor de comando e controle (C2) utilizando as APIs WinHTTP do Windows. Esse código permite aos invasores abrir um terminal remoto (CMD), executar comandos, enumerar arquivos, criar ou modificar arquivos e exfiltrar dados. A ferramenta ainda estabelece persistência por meio de alterações no Registro do Windows, garantindo que seja executada a cada login do usuário.

Especialistas destacam que a campanha não emprega técnicas complexas de exploração, mas combina engenharia social direcionada com métodos confiáveis de execução para obter acesso. O uso de temas políticos atuais, como os acontecimentos recentes envolvendo a Venezuela, aumenta as chances de engajamento de vítimas legítimas.