攻击概括

网络安全专家披露了一项针对美国政府及政策机构的新攻击活动细节，攻击者使用政治主题诱饵投放名为LOTUSLITE的后门程序。该定向恶意软件活动利用美委两国近期地缘政治动态作为诱饵，通过名为"US now deciding what's next for Venezuela.zip"的压缩包分发恶意DLL文件，并采用DLL侧加载技术激活。目前尚不清楚攻击是否成功入侵目标系统。
研究人员以中等置信度将该活动归因于黑客组织Earth Pret（又称HoneyMyte和Twill Typhoon），依据是其战术模式和基础设施特征。值得注意的是，该威胁组织长期依赖DLL侧加载技术投放后门程序，TONESHELL便是其常用工具之一。
"此次攻击延续了利用地缘政治诱饵实施定向鱼叉钓鱼的趋势，相比漏洞利用，攻击者更青睐DLL侧加载等可靠的执行技术。"Acronis研究员Ilia Dafchev和Subhajeet Singha在分析报告中指出。

Part02

LOTUSLITE后门技术特征与功能解析

攻击中使用的后门程序LOTUSLITE（"kugou.dll"）是一款定制化C++植入程序，通过Windows WinHTTP API与硬编码的命令控制（C2）服务器通信，支持信标活动、通过"cmd.exe"执行远程任务以及数据窃取。其完整命令列表包括：

• 0x0A：启动远程CMD shell
• 0x0B：终止远程shell
• 0x01：通过远程shell发送命令
• 0x06：重置信标状态
• 0x03：枚举文件夹内容
• 0x0D：创建空文件
• 0x0E：向文件追加数据
• 0x0F：获取信标状态

LOTUSLITE还能通过修改Windows注册表实现持久化，确保用户每次登录系统时自动运行。Acronis指出该后门"通过嵌入挑衅性信息模仿了Claimloader的行为特征"。Claimloader是Mustang Panda组织通过DLL侧加载技术投放的DLL文件，用于部署另一款工具PUBLOAD。IBM X-Force于2025年6月首次记录该恶意软件，其关联的攻击活动针对敏感地区社群。
Part03

攻击关联与活动归因分析

"此次攻击表明，当简单的成熟技术与精准投放和切合时局的地缘政治诱饵相结合，仍能产生显著效果。"这家新加坡网络安全公司总结道，"尽管LOTUSLITE后门缺乏高级规避功能，但其采用的DLL侧加载技术、可靠执行流程和基础命令控制功能，反映出攻击者更注重操作可靠性而非技术复杂性。"
此次披露恰逢《纽约时报》报道美国对委内瑞拉首都加拉加斯实施网络攻击的细节。报道称在2026年1月3日军事行动抓获委内瑞拉总统尼古拉斯·马杜罗前，该攻击导致首都大部分地区短暂停电。"切断加拉加斯电力供应并干扰雷达系统，使得美军直升机在执行抓捕任务时未被发现。目前马杜罗已被引渡至美国面临毒品指控。"报道指出，"攻击造成加拉加斯大部分区域停电数分钟，但马杜罗被捕军事基地附近部分社区断电长达36小时。"

参考来源：

LOTUSLITE Backdoor Targets U.S. Policy Entities Using Venezuela-Themed Spear Phishing

https://thehackernews.com/2026/01/lotuslite-backdoor-targets-us-policy.html