Los investigadores de seguridad han detectado una nueva variante de un malware conocido como LOTUSLITE que ahora se distribuye mediante un señuelo orientado al sector bancario de la India. Según el análisis publicado por especialistas de Acronis, la muestra emplea un archivo Compiled HTML (CHM) como punto de entrada y aprovecha técnicas de carga lateral de DLL para ejecutar un componente malicioso que establece comunicación cifrada con un servidor de mando y control basado en DNS dinámico. En pocas palabras: no se trata de un troyano bancario clásico sino de una herramienta pensada para espionaje y exfiltración. Puedes consultar el trabajo de los investigadores en la sección de investigaciones de Acronis para más detalles: Acronis Research.
El modus operandi comienza con un CHM que aparenta contener documentación legítima relacionada con una entidad financiera. Dentro del archivo están empaquetados un ejecutable válido y una DLL manipulada. La página HTML incrustada muestra un cuadro de diálogo que induce al usuario a pulsar "Sí"; ese gesto aparentemente inocuo dispara una cadena de descargas que recupera un script JavaScript desde un servidor remoto identificado por los analistas y que se encarga de extraer y ejecutar el malware incluido en el CHM. Esta combinación —archivo CHM malicioso, ingeniería social y carga lateral de DLL— es una receta conocida pero efectiva cuando las víctimas no desconfían del contenido aparentemente legítimo. Para entender mejor qué son los CHM y por qué constituyen un vector atractivo, hay material explicativo en la documentación pública sobre Compiled HTML Help: Compiled HTML Help (Wikipedia).
La DLL en esta campaña, identificada por los investigadores como "dnx.onecore.dll", es una versión evolucionada de LOTUSLITE. Se comunica sobre HTTPS con un servidor de control que utiliza DNS dinámico para ocultar su infraestructura (los dominios señalados por Acronis incluyen ejemplos utilizados durante la operación). El backdoor ofrece capacidades que van más allá de simples comandos remotos: permite shell remoto, operaciones con archivos y gestión de sesiones, lo que apunta a objetivos de recolección de información sostenida en el tiempo más que a fraudes directos. El uso de canales HTTPS para el tráfico de comando y control es una técnica habitual para camuflar la telemetría maliciosa bajo tráfico cifrado; la clasificación técnica de estas tácticas está recogida en repositorios como MITRE ATT&CK (T1071 — Application Layer Protocol).
Los antecedentes del actor detrás de LOTUSLITE sugieren una autoría atribuida con un nivel de confianza medio a un grupo asociado con China, conocido en la comunidad de ciberseguridad como Mustang Panda. Este conjunto de actores ya había sido vinculado a campañas dirigidas contra entidades gubernamentales y de política exterior, usando señuelos relacionados con tensiones geopolíticas. En esta ocasión, la novedad es el giro geográfico y sectorial: la campaña mantiene gran parte de su "playbook" operativo, pero orienta sus esfuerzos principalmente al sector bancario indio, incluso empleando referencias a instituciones como HDFC Bank para aumentar la credibilidad de los cebos. Para un panorama general sobre este actor y su historial, la entrada pública sobre Mustang Panda ofrece contexto adicional: Mustang Panda (Wikipedia).
Además de la focalización en India, los analistas han hallado indicios de piezas y cebos similares dirigidos a Corea del Sur, en particular a personal relacionado con la política y la diplomacia sobre la península coreana. Según los investigadores, los atacantes también han intentado suplantar a figuras relevantes en ese ámbito, enviando señuelos a través de cuentas de Gmail falsificadas y almacenando material en Google Drive para que parezca legítimo y facilitar la entrega. Este tipo de combinaciones —ingeniería social avanzada, suplantación y aprovechamiento de plataformas de confianza— aumenta la probabilidad de que un destinatario descargue o ejecute contenido malicioso.
Un aspecto llamativo del informe es que los autores siguen invirtiendo en la mejora del malware: la nueva variante muestra "mejoras incrementales" respecto a versiones anteriores, lo que evidencia un mantenimiento activo. Esto no es anecdótico: cuando un operador corrige errores, añade capacidades o refina su infraestructura de C2, su campaña se vuelve más peligrosa y difícil de detectar. Para administradores y responsables de seguridad, reconocer que la amenaza evoluciona es tan importante como detectar la campaña actual.
¿Qué medidas prácticas conviene priorizar frente a este tipo de amenazas? La primera barrera es la prudencia del usuario ante archivos adjuntos y enlaces inesperados: los CHM no son un tipo de archivo que deba ser habitualmente enviado por correo, y cualquier diálogo que solicite permiso para ejecutar algo debería activar alertas. En el plano técnico, las organizaciones deben controlar la ejecución de binarios desde ubicaciones no fiables, aplicar políticas que restrinjan la carga lateral de DLL y monitorizar salidas cifradas a dominios y servicios poco comunes. También resulta esencial aplicar la segmentación de redes y el principio de menor privilegio para limitar el alcance de cualquier componente que consiga ejecutarse. Microsoft y otros proveedores han documentado técnicas de "DLL search order hijacking" y mitigaciones que ayudan a entender esta clase de riesgo: DLL search order hijacking (Wikipedia).
Finalmente, la detección temprana depende tanto de soluciones de endpoint con capacidad para identificar comportamientos sospechosos como de una buena higiene en el correo electrónico (filtrado de suplantaciones y protección contra el phishing), la segmentación de entornos de almacenamiento en la nube y la revisión continua de indicadores de compromiso. Publicaciones especializadas y avisos de los equipos de respuesta a incidentes ofrecen guías de detección y remediación que conviene revisar de forma periódica. Mantenerse informado con fuentes fiables y compartir observables con la comunidad ayuda a reducir la ventana de exposición ante campañas de naturaleza estatal y bien financiadas.
En resumen, la aparición de una versión actualizada de LOTUSLITE centrada en el sector bancario indio y con derivaciones hacia Corea del Sur subraya tres realities: los actores persistentes mantienen y perfeccionan sus herramientas; la ingeniería social sigue siendo la palanca principal para abrir puertas; y la defensa requiere combinar formación de usuarios, controles técnicos y vigilancia constante. Para quienes gestionan seguridad en organizaciones con intereses en la región o en ámbitos diplomáticos, la recomendación es revisar las configuraciones de bloqueo de tipos de archivos (como CHM), reforzar las políticas de ejecución de DLL y escalar cualquier tráfico saliente inusual hacia centros de análisis para su correlación.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...