Les chercheurs en sécurité ont détecté une nouvelle variante d'un malware appelé LOTUSLITE qui est maintenant distribué par un leurre orienté vers le secteur bancaire en Inde. Selon l'analyse publiée par les spécialistes Acronis, l'échantillon utilise un fichier Compied HTML (CHM) comme point d'entrée et profite des techniques de chargement côté DLL pour exécuter un composant malveillant qui définit la communication chiffrée avec un serveur de contrôle et de contrôle dynamique basé sur DNS. En bref, ce n'est pas un trojan bancaire classique, mais un outil conçu pour l'espionnage et l'exfiltration. Vous pouvez consulter les travaux des chercheurs dans la section Recherche Acronis pour plus de détails : Recherche Acronis.
Le modus operandi commence par un CHM qui semble contenir des documents légitimes liés à une institution financière. Un exécutable valide et une DLL manipulée sont dans le fichier. La page HTML intégrée affiche une boîte de dialogue qui incite l'utilisateur à appuyer sur « Oui » ; ce geste apparemment inoffensif déclenche une chaîne de téléchargements qui récupère un script JavaScript d'un serveur distant identifié par les analystes et qui est responsable de la suppression et de l'exécution du malware inclus dans le CHM. Cette combinaison - le fichier malveillant CHM, l'ingénierie sociale et la charge latérale de DLL - est une recette connue mais efficace lorsque les victimes ne se méfient pas du contenu apparemment légitime. Pour mieux comprendre ce qu'est le CHM et pourquoi il s'agit d'un vecteur attrayant, il y a du matériel explicatif dans la documentation publique sur Compied HTML Help: HTML compilé Aide (Wikipedia).
DLL dans cette campagne, identifiée par les chercheurs comme "dnx.onecore.dll," est une version évoluée de LOTUSLITE. Il communique sur HTTPS avec un serveur de contrôle qui utilise le DNS dynamique pour cacher son infrastructure (les domaines identifiés par Acronis incluent des exemples utilisés pendant l'opération). Le backdoor offre des capacités qui vont au-delà des simples commandes distantes : il permet le shell distant, les opérations de fichiers et la gestion de session, ce qui indique des objectifs de collecte d'informations durables au fil du temps plutôt que la fraude directe. L'utilisation de canaux HTTPS pour la commande et le contrôle du trafic est une technique régulière de camouflage de la télémétrie malveillante sous le trafic crypté; la classification technique de ces tactiques est collectée dans des dépôts tels que MITRE ATT & CK ( T1071 - Protocole sur la couche d'application).
L'arrière-plan de l'acteur derrière LOTUSLITE suggère une paternité attribuée avec un niveau de confiance moyenne à un groupe associé à la Chine, connu dans la communauté de cybersécurité comme Mustang Panda. Cet ensemble d'acteurs avait déjà été lié à des campagnes dirigées contre des entités gouvernementales et de politique étrangère, utilisant des leurres liés aux tensions géopolitiques. À cette occasion, la nouveauté est le virage géographique et sectoriel : la campagne maintient une grande partie de son « playbook » opérationnel, mais elle se concentre principalement sur le secteur bancaire indien, y compris en utilisant des références à des institutions telles que HDFC Bank pour accroître la crédibilité des oignons. Pour un aperçu général de cet acteur et de son histoire, l'entrée publique sur Mustang Panda offre un contexte supplémentaire: Mustang Panda (Wikipedia).
Outre l'accent mis en Inde, les analystes ont trouvé des signes de parties et d'appâts similaires pour la Corée du Sud, en particulier pour le personnel politique et diplomatique de la péninsule coréenne. Selon les chercheurs, les agresseurs ont également essayé de supplanter des chiffres pertinents dans ce domaine, en envoyant des leurres par des comptes Gmail falsifiés et en stockant du matériel sur Google Drive pour le rendre légitime et faciliter la livraison. Ce type de combinaison - ingénierie sociale avancée, supplantation et renforcement sur les plateformes de confiance - augmente la probabilité qu'un destinataire télécharge ou exécute des contenus malveillants.
Un aspect frappant du rapport est que les auteurs continuent d'investir dans l'amélioration des logiciels malveillants: la nouvelle variante montre "améliorations progressives" des versions précédentes, qui montre la maintenance active. Ce n'est pas anecdotique : lorsqu'un opérateur corrige des erreurs, ajoute des capacités ou peaufine son infrastructure C2, sa campagne devient plus dangereuse et difficile à détecter. Pour les gestionnaires et les responsables de la sécurité, reconnaître que la menace évolue est aussi important que de détecter la campagne actuelle.
Quelles mesures concrètes devraient être prises en priorité face à de telles menaces? La première barrière est la prudence de l'utilisateur quant aux pièces jointes et aux liens inattendus : CHM ne sont pas un type de fichier qui devrait normalement être envoyé par courrier, et toute boîte de dialogue qui demande la permission d'exécuter quelque chose devrait activer les alertes. Au niveau technique, les organisations devraient contrôler l'exécution binaire à partir de lieux peu fiables, appliquer des politiques qui limitent la charge latérale de DLL et surveiller les sorties chiffrées à des domaines et services inhabituels. Il est également essentiel d'appliquer la segmentation du réseau et le principe de moins de privilège pour limiter la portée de tout élément pouvant être mis en œuvre. Microsoft et d'autres fournisseurs ont documenté "DLL search order hackering" techniques et l'atténuation qui vous aident à comprendre ce type de risque: détournement d'ordre de recherche DLL (Wikipedia).
Enfin, la détection précoce dépend à la fois des solutions finales avec la capacité d'identifier les comportements suspects et une bonne hygiène du courrier électronique (filtrage des supplantations et protection contre l'hameçonnage), la segmentation des environnements de stockage des nuages et l'examen continu des indicateurs d'engagement. Des publications spécialisées et des avis d'équipes d'intervention en cas d'incident fournissent des guides de détection et de médiation qui devraient être examinés régulièrement. Le fait de se tenir au courant de sources fiables et de partager les données observables avec la collectivité aide à réduire le risque d'exposition à des campagnes de nature étatique et de financement adéquat.
En bref, l'émergence d'une version actualisée de LOTUSLITE axée sur le secteur bancaire indien et avec des dérivations vers la Corée du Sud met en évidence trois réalités : les acteurs persistants maintiennent et perfectionnent leurs outils; l'ingénierie sociale reste le levier principal pour ouvrir les portes; et la défense nécessite une combinaison de la formation des utilisateurs, des contrôles techniques et une surveillance constante. Pour ceux qui gèrent la sécurité dans les organisations avec intérêt dans la région ou dans les domaines diplomatiques, la recommandation est de revoir les paramètres de blocage de type de fichier (comme CHM), de renforcer les politiques d'exécution DLL et d'étendre tout trafic sortant inhabituel vers les centres d'analyse pour la corrélation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...