I camaleonti del cyber di Cina: Mustang Panda scatena LOTUSLITE v1.1 contro India e Corea del Sud
Hacker sofisticati usano esche legate a banche e diplomazia per infiltrarsi in settori critici in tutta l’Asia, evolvendo strumenti e tattiche in una campagna di spionaggio digitale ad alta posta in gioco.
Tutto è iniziato con un’email dall’aspetto innocuo-una di quelle che quasi nessuno sospetterebbe. Un file “Request for Support”, apparentemente proveniente da una banca fidata, arriva nella casella di posta di un dipendente di una grande istituzione finanziaria indiana. Nel frattempo, esperti di policy sudcoreani ricevono inviti da un rispettato diplomatico americano. Ma dietro queste maschere digitali si nasconde Mustang Panda, un famigerato gruppo di hacker legato alla Cina, ora armato di una versione più letale della sua backdoor distintiva LOTUSLITE. La loro ultima campagna è un monito inquietante: nella guerra cibernetica, le apparenze sono tutto, e la fiducia è un’arma.
Dentro l’operazione: banche e diplomazia sotto assedio
Nel marzo 2026, ricercatori di cybersecurity hanno scoperto una nuova campagna di Mustang Panda che prendeva di mira sia il colosso finanziario indiano HDFC Bank sia esperti di policy in Corea del Sud. Gli hacker hanno distribuito un file malevolo chiamato Request for Support.chm, progettato per imitare comunicazioni ufficiali della banca. Una volta attivato, innescava una finestra pop-up ingannevole che citava HDFC Bank Limited, attirando i dipendenti in una trappola pericolosa.
Ma il vero payload era nascosto più in profondità. Il file scaricava silenziosamente un malware JavaScript, music.js, da un dominio sosia. Mentre i dipendenti credevano di interagire con un software bancario legittimo, la backdoor LOTUSLITE v1.1 aggiornata si infiltrava senza farsi notare nei loro sistemi, garantendo agli attaccanti un accesso clandestino.
Nel frattempo, in una manovra parallela, Mustang Panda ha impersonato Victor Cha, un noto ex funzionario del Consiglio di Sicurezza Nazionale degli Stati Uniti. Usando un falso account Gmail completo della foto di Cha, hanno inviato link di Google Drive contenenti lettere d’invito manomesse a responsabili politici sudcoreani, sperando di infettare obiettivi diplomatici di alto valore.
Trucchi tecnici: vecchie tattiche, nuovi travestimenti
Una delle armi preferite di Mustang Panda è il DLL sideloading. Affiancando il proprio codice malevolo a un eseguibile affidabile firmato da Microsoft, gli attaccanti aggirano i controlli di sicurezza standard-dopotutto, chi sospetterebbe di un file firmato da Microsoft? Questo gioco di prestigio consente a LOTUSLITE di superare le difese senza far scattare allarmi.
Il gruppo non si è fermato qui. Ha aggiornato i marcatori interni del codice (o “valori magici”) e i flag di comando per rendere il traffico più difficile da tracciare, passando dai familiari 0x8899AABB e –DATA a nuovi valori come 0xB2EBCFDF e –ZoneMAX. La comunicazione con i server di comando continua tramite servizi come Gleeze, un segnale rivelatore che collega questi attacchi alle campagne precedenti di Mustang Panda.
Nonostante questi miglioramenti, i ricercatori hanno trovato vecchi nomi di codice e persino un messaggio lasciato per un analista di sicurezza-prova che anche gli attori più sofisticati a volte lasciano impronte dietro di sé.
Il fattore umano: quando la fiducia è una debolezza
La campagna di Mustang Panda è una lezione magistrale di social engineering. Fondendo sofisticazione tecnica e manipolazione psicologica-come l’impersonificazione di istituzioni e persone fidate-sfruttano l’anello più debole: la fiducia umana. Man mano che i loro strumenti evolvono, deve evolvere anche il nostro scetticismo. La prossima email “ufficiale” che riceverai potrebbe essere la mossa d’apertura di un gioco internazionale di spionaggio informatico.
TECHCROOK
Bitdefender Total Security è una suite di protezione pensata per contrastare campagne come quelle basate su allegati malevoli, social engineering e tecniche di evasione (es. DLL sideloading) descritte nell’articolo. Integra motore antimalware con analisi comportamentale e protezione anti-phishing per intercettare email e siti “sosia” usati come esche, oltre a moduli di difesa contro ransomware e attività sospette in memoria. Include anche protezione web e controllo delle connessioni per ridurre il rischio di comunicazioni con server di comando e controllo, più strumenti di hardening di base (aggiornamenti, scansioni pianificate, report). È adatto a PC Windows e spesso disponibile anche per macOS e mobile a seconda della licenza. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- Backdoor: una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
- DLL sideloading: il DLL sideloading è quando gli attaccanti ingannano programmi fidati inducendoli a caricare file di supporto malevoli (DLL) al posto di quelli legittimi, consentendo attacchi nascosti.
- Social engineering: il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
- Server di comando e controllo: un server di comando e controllo è un computer remoto che i criminali informatici usano per gestire il malware e ricevere dati rubati dai dispositivi infetti.
- Malware JavaScript: il malware JavaScript è codice dannoso che sfrutta i browser per rubare dati, reindirizzare gli utenti o installare altro malware, spesso senza che l’utente ne sia a conoscenza.




