O grupo de hackers conhecido como Lotus Panda tem intensificado seus ataques cibernéticos contra governos e setores estratégicos, incluindo manufatura, telecomunicações e mídia em países como Filipinas, Vietnã, Hong Kong e Taiwan. A nova investida envolve versões atualizadas do backdoor Sagerunex, uma ferramenta de acesso remoto utilizada para espionagem e roubo de dados.
Grupo APT chinês Lotus Panda expande ataques cibernéticos
De acordo com uma análise recente do Cisco Talos, a Lotus Panda tem usado o Sagerunex desde 2016, aprimorando continuamente suas variantes para garantir persistência em sistemas comprometidos. O grupo, também conhecido pelos nomes Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon e Thrip, está ativo desde pelo menos 2009 e foi revelado pela primeira vez pela Symantec em 2018.
Técnicas avançadas para evitar detecção
No final de 2022, a Symantec detalhou ataques do grupo contra autoridades de certificação digital e agências governamentais na Ásia, utilizando backdoors como Hannotog e Sagerunex. Embora o método inicial de infecção não seja conhecido, históricos indicam o uso de táticas como spear-phishing e watering hole.
As novas variantes do Sagerunex exploram serviços legítimos como Dropbox, X (antigo Twitter) e Zimbra para estabelecer comunicação sigilosa com servidores de comando e controle (C2), dificultando sua detecção por sistemas de segurança. Essas versões do malware foram usadas entre 2018 e 2022, com a versão baseada no webmail Zimbra surgindo em 2019.
Função do backdoor Sagerunex
O Sagerunex permite coletar informações de dispositivos comprometidos, criptografar dados e enviá-los a servidores remotos sob o controle dos invasores. A variante Zimbra, por exemplo, não apenas exfiltra dados, mas também possibilita o controle remoto da máquina infectada por meio de comandos inseridos em e-mails.
Após a execução de comandos, os resultados são compactados em arquivos RAR e armazenados em rascunhos de e-mail na conta comprometida, garantindo uma comunicação discreta e evasiva.
Notícias Relacionadas
Segurança cibernética
Google corrige falha crítica no Chrome explorada em ataques
O Google lançou um patch emergencial para corrigir a vulnerabilidade CVE-2025-2783 no Chrome, explorada em ataques direcionados a organizações russas. A falha permitia a execução remota de código e foi utilizada em campanhas de espionagem cibernética.
Erro remoto
Microsoft corrige falha na Área de Trabalho Remota com rollback temporário
Atualizações do Windows lançadas desde janeiro de 2025 estão causando desconexões inesperadas na Área de Trabalho Remota. A Microsoft implementou um rollback temporário enquanto prepara uma correção definitiva.
Ferramentas adicionais utilizadas nos ataques
Além do Sagerunex, a Lotus Panda tem empregado diversas ferramentas auxiliares para reforçar suas operações:
- Ladrão de cookies: Permite roubo de credenciais armazenadas no navegador Google Chrome.
- Venom Proxy: Um utilitário de código aberto usado para criar canais de comunicação seguras.
- Ajustador de privilégios: Ferramenta para aumentar os acessos dentro do sistema comprometido.
- Software de compressão e criptografia: Usado para ofuscar dados roubados antes da exfiltração.
Reconhecimento e persistência
Os hackers do grupo Lotus Panda também executam comandos como net, tasklist, ipconfig e netstat para mapear os sistemas-alvo e avaliar o acesso à internet. Caso o acesso seja restrito, eles adotam uma das seguintes estratégias:
- Utilizam as configurações de proxy da vítima para estabelecer conexão.
- Recorrem ao Venom Proxy para conectar máquinas isoladas a sistemas acessíveis.
Conclusão
A evolução das táticas e ferramentas do Lotus Panda evidencia sua capacidade de adaptação para evitar detecção e maximizar a eficiência de seus ataques. Para mitigar riscos, é essencial que organizações governamentais e do setor privado reforcem suas estratégias de segurança cibernética, investindo em soluções avançadas de monitoramento e resposta a ameaças.
