Il gruppo di hacker noto come Lotus Panda è stato recentemente osservato mentre prendeva di mira i settori governativi, manifatturieri, delle telecomunicazioni e dei media nelle Filippine, Vietnam, Hong Kong e Taiwan con versioni aggiornate di un malware noto come Sagerunex. Questo gruppo, attivo dal 2009, è anche conosciuto con nomi come Billbug, Bronze Elgin e Lotus Blossom. Secondo le ricerche di Cisco Talos, Lotus Panda sta utilizzando il backdoor Sagerunex almeno dal 2016 e sta sviluppando nuove varianti per aumentare la persistenza a lungo termine.

Nel 2022, Symantec, di proprietà di Broadcom, aveva dettagliato un attacco condotto da questo gruppo contro un'autorità di certificazione digitale e alcune agenzie governative e di difesa in Asia, utilizzando backdoor come Hannotog e Sagerunex. Non è ancora chiaro quale vettore di accesso iniziale sia stato utilizzato per violare le entità nell'ultimo insieme di intrusioni, sebbene il gruppo abbia una storia di attacchi di spear-phishing e watering hole.

**Nuove varianti del malware**

Di particolare rilevanza è l'uso di due nuove varianti "beta" del malware, che sfruttano servizi legittimi come Dropbox, X e Zimbra come tunnel di comando e controllo (C2) per evitare il rilevamento. Queste varianti sono state così chiamate a causa della presenza di stringhe di debug nel codice sorgente.

Il backdoor è progettato per raccogliere informazioni sull'host target, crittografarle ed esfiltrare i dettagli a un server remoto sotto il controllo dell'attaccante. Le versioni di Sagerunex che utilizzano Dropbox e X sono state utilizzate tra il 2018 e il 2022, mentre la versione Zimbra è in circolazione dal 2019. Quest'ultima non solo raccoglie informazioni sulle vittime e le invia alla casella di posta Zimbra, ma consente anche agli attaccanti di utilizzare il contenuto delle email per impartire comandi e controllare il dispositivo infetto.

**Strumenti aggiuntivi e tecniche di attacco**

Oltre al backdoor Sagerunex, negli attacchi sono stati utilizzati altri strumenti come un cookie stealer per raccogliere credenziali del browser Chrome, un'utilità proxy open-source chiamata Venom, un programma per regolare i privilegi, e software su misura per comprimere e crittografare i dati catturati. Inoltre, il gruppo è stato osservato mentre eseguiva comandi come net, tasklist e ipconfig per effettuare ricognizioni nell'ambiente target e verificare l'accesso a internet. Se l'accesso a internet è limitato, l'attore minaccia ha due strategie: utilizzare le impostazioni proxy del target per stabilire una connessione o usare lo strumento proxy Venom per collegare le macchine isolate ai sistemi accessibili a internet.