MalwareHackerangriffeDatenschutz

Mustang Panda setzt auf neue LOTUSLITE-Variante: Indische Banken und südkoreanische Behörden im Visier

Mustang Panda setzt auf neue LOTUSLITE-Variante: Indische Banken und südkoreanische Behörden im Visier
Zusammenfassung

Die chinesische Hackergruppe Mustang Panda hat eine neue Variante der Malware LOTUSLITE entwickelt und setzt diese gezielt gegen indische Banken sowie südkoreanische Behördenvertreter ein. Die aktuelle Kampagne nutzt als Einfallstor manipulierte CHM-Dateien mit Bezügen zum indischen Bankensektor, etwa zum HDFC-Institut, um Nutzer zum Anklicken zu bewegen. Nach erfolgreicher Kompromittierung ermöglicht die Malware ferngesteuerten Shell-Zugriff, Dateiverwaltung und Datenesspionage über Command-and-Control-Server. Für deutsche Unternehmen und Behörden ist diese Entwicklung besorgniserregend, da sie zeigt, wie Mustang Panda ihre Angriffsmethoden verfeinert und geografisch ausweitet. Die Hackergruppe konzentriert sich zwar derzeit auf Asien und diplomatische Ziele, doch ihre Taktiken der Spear-Phishing-Anschläge und DLL-Seitenladen könnten als Blaupause für Angriffe auf deutsche Finanzinstitute, Regierungseinrichtungen oder kritische Infrastruktur adaptiert werden. Deutsche Organisationen sollten ihre Mitarbeiter schulen, verdächtige Dateien zu erkennen, und ihre Abwehrsysteme gegen diese bekannte Malware-Familie aktualisieren.

Die chinesische Hackergruppe Mustang Panda intensiviert ihre Spionageoperationen mit einer verfeinerten Version der LOTUSLITE-Backdoor. Die von Sicherheitsforschern der Firma Acronis analysierte Kampagne markiert einen signifikanten Strategiewechsel: Während frühere Angriffswellen US-amerikanische Regierungsinstitutionen mit geopolitischen Ködern ins Visier nahmen, richtet sich die neue Offensive gezielt gegen Indiens Bankensektor und südkoreanische Entscheidungsträger.

Die technische Implementierung zeigt handfeste Verbesserungen gegenüber vorherigen Versionen. Die Malware wird über Compiled HTML-Dateien (CHM) verbreitet, die legitime ausführbare Dateien und manipulierte DLL-Dateien enthalten. Der Angriffsablauf beginnt mit einer Pop-up-Aufforderung, die Nutzer zum Klicken auf “Ja” bewegt. Dies triggert das Laden von bösartigem JavaScript von der Domain “cosmosmusic[.]com”, das wiederum die eigentliche LOTUSLITE-Payload mittels DLL-Seitenladen ausführt.

Die aktualisierte DLL-Komponente (“dnx.onecore.dll”) verbindet sich mit dem Command-and-Control-Server “editor.gleeze[.]com”. Von dort erhält sie Befehle zur Datenexfiltration und bietet Fernzugriff sowie Dateiverwaltungsfunktionen. Besonders perfide: Die Malware wird in Indien über täuschend echte HDFC-Bank-Popups verbreitet und zielt damit auf Vertrauensmechanismen ab, die normale Nutzer aktivieren würden.

Die geografische Erweiterung offenbart eine kalkulierte Strategie. Mustang Panda hat sich von reinen US-fokussierten Operationen zu einem breiteren Spektrum entwickelt: indische Bankinstitute, südkoreanische Diplomaten im Kontext von Koreanische-Halbinsel-Politik und Indo-Pazifik-Sicherheitsdialoge. Die Angreifer nutzen dabei auch Spoofing von Gmail-Konten und Google-Drive-Staging, um ihre Ziele zu ködern.

Acronys-Forscher Subhajeet Singha und Santiago Pontiroli betonen, dass die kontinuierliche Weiterentwicklung der Malware auf aktive Wartung und operative Raffinesse hinweist. Dies ist kein statisches Werkzeug, sondern eine lebende Bedrohung, die sich an neue geografische und sektorale Ziele anpasst. Die detektierten “inkrementellen Verbesserungen” deuten auf ein professionalisiertes Entwicklungsteam hin.

Für deutsche Unternehmen mit Präsenz in Asien oder internationale Finanzkonzerne ist dies ein warnendes Signal. Mustang Pandas Bereitschaft, Angriffsvektoren zu variieren und neue regionale Ziele zu exploitieren, zeigt die Langfristigkeit dieser Nation-State-Bedrohung. Organisationen sollten ihre Sicherheitsposturen hinsichtlich Social Engineering, Datei-basierter Angriffe und geografisch gezielter Kampagnen überprüfen.

Ähnliche Artikel