Il gruppo di cyber spionaggio Lotus Panda, collegato alla Cina, è stato attribuito a una campagna che ha compromesso diverse organizzazioni in un paese del sud-est asiatico tra agosto 2024 e febbraio 2025. Gli obiettivi includevano un ministero del governo, un'organizzazione di controllo del traffico aereo, un operatore di telecomunicazioni e una società di costruzioni. Secondo il team di Symantec Threat Hunter, gli attacchi hanno coinvolto l'uso di vari nuovi strumenti personalizzati, tra cui loader, stealer di credenziali e uno strumento di reverse SSH.

Inoltre, il set di intrusioni ha preso di mira un'agenzia di stampa situata in un altro paese del sud-est asiatico e un'organizzazione di trasporto aereo in un paese vicino. Il cluster di minacce viene considerato una continuazione di una campagna che la divisione di cybersecurity di Broadcom aveva rivelato nel dicembre 2024, rivolta a varie organizzazioni di alto profilo nel sud-est asiatico almeno da ottobre 2023.

Il mese scorso, Cisco Talos ha collegato l'attore Lotus Panda a intrusioni mirate a settori governativi, manifatturieri, delle telecomunicazioni e dei media nelle Filippine, Vietnam, Hong Kong e Taiwan con un backdoor noto come Sagerunex. Lotus Panda, noto anche come Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon e Thrip, ha una storia di attacchi informatici orchestrati contro governi e organizzazioni militari nel sud-est asiatico. Attivo almeno dal 2009, il gruppo è emerso per la prima volta al centro dell'attenzione nel giugno 2015 quando Palo Alto Networks ha attribuito a questo attore delle minacce una campagna di spear-phishing persistente che sfruttava una vulnerabilità di Microsoft Office (CVE-2012-0158) per distribuire un backdoor chiamato Elise, progettato per eseguire comandi e leggere/scrivere file.

Gli attacchi successivi del gruppo hanno sfruttato una vulnerabilità di Microsoft Windows OLE (CVE-2014-6332) tramite un allegato infetto inviato in una email di spear-phishing a un individuo che lavorava per il Ministero degli Affari Esteri francese a Taiwan per distribuire un altro trojan correlato a Elise, denominato Emissary.

Nell'ultima serie di attacchi scoperti da Symantec, gli aggressori hanno utilizzato eseguibili legittimi di Trend Micro ("tmdbglog.exe") e Bitdefender ("bds.exe") per caricare DLL malevoli, che agiscono come loader per decrittare e lanciare un payload di fase successiva incorporato in un file archiviato localmente. Il binario di Bitdefender è stato utilizzato anche per caricare un'altra DLL, sebbene la natura esatta del file non sia chiara. Un altro aspetto sconosciuto della campagna è il vettore di accesso iniziale usato per compromettere le entità in questione.

Gli attacchi hanno spianato la strada per una versione aggiornata di Sagerunex, uno strumento usato esclusivamente da Lotus Panda. Questo strumento ha la capacità di raccogliere informazioni sull'host di destinazione, crittografarle ed esfiltrare i dettagli a un server esterno sotto il controllo dell'attaccante. Inoltre, sono stati dispiegati negli attacchi uno strumento di reverse SSH e due stealer di credenziali, ChromeKatz e CredentialKatz, equipaggiati per sottrarre password e cookie memorizzati nel browser web Google Chrome.