Kelompok spionase dunia maya yang terhubung dengan Cina dilacak karena Lotus Panda telah dikaitkan dengan kampanye yang mengganggu banyak organisasi di negara Asia Tenggara yang tidak disebutkan namanya antara Agustus 2024 dan Februari 2025.
“Target termasuk kementerian pemerintah, organisasi kontrol lalu lintas udara, operator telekomunikasi, dan perusahaan konstruksi,” kata tim pemburu ancaman Symantec dalam laporan baru yang dibagikan kepada Hacker News. “Serangan melibatkan penggunaan beberapa alat kustom baru, termasuk loader, pencuri kredensial, dan alat SSH terbalik.”
Set intrusi juga dikatakan telah menargetkan sebuah kantor berita yang berlokasi di negara lain di Asia Tenggara dan organisasi angkutan udara yang berlokasi di negara tetangga lain.
Cluster ancaman, divisi cybersecurity per Broadcom, dinilai sebagai kelanjutan dari kampanye yang diungkapkan oleh perusahaan pada bulan Desember 2024 sebagai organisasi profil tinggi di Asia Tenggara sejak setidaknya Oktober 2023.
Kemudian bulan lalu, Cisco Talos menghubungkan aktor Lotus Panda dengan intrusi yang ditujukan untuk sektor pemerintah, manufaktur, telekomunikasi, dan media di Filipina, Vietnam, Hong Kong, dan Taiwan dengan pintu belakang yang dikenal sebagai Sagerunex.
Lotus Panda (alias Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon, dan Thrip) memiliki sejarah mengatur serangan cyber terhadap pemerintah dan organisasi militer di Asia Tenggara.
Diyakini aktif sejak setidaknya 2009, kelompok ini menjadi sorotan untuk pertama kalinya pada Juni 2015 ketika Palo Alto Networks mengaitkan aktor ancaman dengan kampanye phishing tombak yang terus-menerus yang meledak dengan cacat Microsoft Office (CVE-2012-0158) untuk mendistribusikan backdoor yang dijuluki Elise.
Serangan selanjutnya yang dipasang oleh grup telah mempersenjatai Microsoft Windows OLE FLAW (CVE-2014-6332) melalui lampiran yang terjebak booby yang dikirim dalam email phishing tombak kepada seorang individu yang kemudian bekerja untuk Kementerian Luar Negeri Prancis di Taiwan untuk mengerahkan Trojan lain yang terkait dengan Elise Codenary Emissary.
Dalam gelombang serangan terbaru yang terlihat oleh Symantec, para penyerang telah memanfaatkan executable yang sah dari tren mikro (“tmdbglog.exe”) dan bitdefender (“bds.exe”) untuk memuat file DLL jahat, yang bertindak sebagai pemuatan untuk mendekripsi dan meluncurkan payload tahap selanjutnya yang diematkan di dalam file lokal yang disimpan secara lokal.
Biner Bitdefender juga telah digunakan untuk mengidap DLL lain, meskipun sifat pasti dari file tersebut tidak jelas. Aspek lain yang tidak diketahui dari kampanye adalah vektor akses awal yang digunakan untuk menjangkau entitas yang dimaksud.
Serangan membuka jalan bagi versi terbaru Sagerunex, alat yang secara eksklusif digunakan oleh Lotus Panda. Muncul dengan kemampuan untuk memanen informasi host target, mengenkripsi, dan mengeluarkan detail ke server eksternal di bawah kendali penyerang.
Juga digunakan dalam serangan adalah alat SSH terbalik, dan dua pencuri kredensial Chromekatz dan CredentialKatz yang dilengkapi untuk menyedot kata sandi dan cookie yang disimpan di browser web Google Chrome.
“Para penyerang mengerahkan alat Zrok peer-to-peer yang tersedia untuk umum, menggunakan fungsi berbagi alat untuk memberikan akses jarak jauh ke layanan yang diekspos secara internal,” kata Symantec. “Alat sah lainnya yang digunakan disebut 'datechanger.exe.' Ini mampu mengubah cap waktu untuk file, mungkin menjadi berlumpur perairan untuk analis insiden.
