Мадуро летит в Нью-Йорк, а вирусы — в Вашингтон. Китайские хакеры использовали арест президента Венесуэлы как приманку

Китайская группа Mustang Panda запустила узконаправленную фишинговую кампанию против американских ведомств и аналитических структур, воспользовавшись резонансом вокруг задержания президента Венесуэлы Николаса Мадуро. Приманкой стало архивное вложение с громким названием про решения Вашингтона относительно будущего страны, рассчитанное на сотрудников, следящих за внешнеполитической повесткой.

Следы операции обнаружила исследовательская команда Acronis после публикации в начале января на VirusTotal ZIP-файла «US now deciding what's next for Venezuela». Внутри находился легитимный исполняемый файл, который использовался как загрузчик, а также скрытый бэкдор на базе DLL, получивший название Lotuslite.

Совокупность технических признаков позволила аналитикам связать атаку с Mustang Panda с умеренной степенью уверенности. В качестве аргументов названы пересечения в инфраструктуре, сходство методов внедрения и характерная для этой команды техника подгрузки вредоносных библиотек через доверенные приложения.

Группировка действует не первый год и регулярно фигурирует в расследованиях западных спецслужб. Американские правоохранительные органы ранее обвиняли её во взломах государственных учреждений и частных компаний в США, Европе и странах Индо-Тихоокеанского региона.

В новом отчёте Acronis подробно разобрана архитектура Lotuslite. Исследователи подчёркивают, что вредонос написан на C++ и работает как полноценный имплант удалённого доступа. Он связывается с жёстко прописанным управляющим сервером по IP, закрепляется в системе для автозапуска, периодически отправляет сигналы операторам и позволяет выгружать данные с заражённых машин.

Mustang Panda уже неоднократно подстраивала свои сценарии под мировую повестку. В прошлых эпизодах использовались темы дипломатических форумов и региональных выборов, а нынешний заход был запущен практически сразу после появления новостей о захвате Мадуро американскими военными.

Стиль в целом группы строится вокруг повторяемых техник средней сложности. Наиболее заметная из них это DLL sideloading, когда вредоносная библиотека подсовывается легитимной программе и запускается от её имени, обходя базовые механизмы доверия.

Анализ содержимого архива выявил ещё один замаскированный компонент. Исполняемый файл с названием «Maduro to be taken to New York» оказался переименованным лаунчером музыкального сервиса Tencent. Рядом находилась библиотека kugou.dll, которая и выполняла роль скрытого бэкдора Lotuslite.

Параллельно с этим специалисты Cisco Talos сообщили об активности другой предположительно китайской структуры UAT-8837. Она атаковала организации из сектора критической инфраструктуры США, используя ранее неизвестную уязвимость десериализации ViewState в продуктах SiteCore (CVE-2025-53690) для первоначального проникновения.

По оценке Talos, наличие нулевого дня у этой команды указывает на доступ к дорогостоящим эксплойтам и более высокий уровень подготовки. Аналитики связывают её с китайской APT-экосистемой со средней степенью уверенности и считают сентябрьские инциденты подтверждением использования закрытых инструментов до публичного раскрытия бреши.