{"id":629,"date":"2026-04-22T09:03:49","date_gmt":"2026-04-22T09:03:49","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/22\/la-nueva-variante-lotuslite-del-mustang-panda-se-dirige-a-los-bancos-de-la-india-y-a-los-circulos-politicos-de-corea-del-sur-cyberdefensa-mx\/"},"modified":"2026-04-22T09:03:49","modified_gmt":"2026-04-22T09:03:49","slug":"la-nueva-variante-lotuslite-del-mustang-panda-se-dirige-a-los-bancos-de-la-india-y-a-los-circulos-politicos-de-corea-del-sur-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/22\/la-nueva-variante-lotuslite-del-mustang-panda-se-dirige-a-los-bancos-de-la-india-y-a-los-circulos-politicos-de-corea-del-sur-cyberdefensa-mx\/","title":{"rendered":"La nueva variante LOTUSLITE del Mustang Panda se dirige a los bancos de la India y a los c\u00edrculos pol\u00edticos de Corea del Sur \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han descubierto una nueva variante de un conocido malware llamado LOTUSLITA<\/strong> que se distribuye a trav\u00e9s de un tema relacionado con el sector bancario de la India.<\/p>\n

\u00abLa puerta trasera se comunica con un servidor din\u00e1mico de comando y control basado en DNS a trav\u00e9s de HTTPS y admite acceso remoto a shell, operaciones de archivos y administraci\u00f3n de sesiones, lo que indica un conjunto de capacidades continuas centradas en el espionaje en lugar de objetivos motivados financieramente\u00bb, subhajeet Singha y Santiago Pontiroli, investigadores de Acronis. dicho<\/a> en un an\u00e1lisis.<\/p>\n

El uso de LOTUSLITE se observ\u00f3 anteriormente en ataques de phishing dirigidos al gobierno de los EE. UU. y a entidades pol\u00edticas utilizando se\u00f1uelos asociados con los acontecimientos geopol\u00edticos entre los EE. UU. y Venezuela. La actividad se atribuy\u00f3 con un nivel de confianza medio a un grupo de estados-naci\u00f3n chino identificado como Mustang Panda.<\/p>\n

\"\"<\/a><\/div>\n

La \u00faltima actividad se\u00f1alada por Acronis implica la implementaci\u00f3n de una versi\u00f3n evolucionada de LOTUSLITE que demuestra \u00abmejoras incrementales\u00bb con respecto a su predecesor, lo que indica que sus operadores est\u00e1n manteniendo y refinando activamente el malware.<\/p>\n

La desviaci\u00f3n de la ola de ataques anterior se relaciona con un pivote geogr\u00e1fico que se centra principalmente en el sector bancario de la India, mientras mantiene el resto del manual operativo pr\u00e1cticamente intacto. El punto de partida del ataque es un archivo HTML compilado (CHM) que incorpora las cargas maliciosas (un ejecutable leg\u00edtimo y una DLL fraudulenta) junto con una p\u00e1gina HTML que contiene una ventana emergente que solicita al usuario que haga clic en \u00abS\u00ed\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Este paso est\u00e1 dise\u00f1ado para recuperar y ejecutar silenciosamente un malware JavaScript desde un servidor remoto (\u00abcosmosmusic[.]com\u00bb), cuya responsabilidad principal es extraer y ejecutar el malware contenido dentro del archivo CHM utilizando Carga lateral de DLL<\/a>. La DLL (\u00abdnx.onecore.dll\u00bb) es una versi\u00f3n actualizada de LOTUSLITE que se comunica con el dominio \u00abeditor.gleeze[.]com\u00bb para recibir comandos y extraer datos de inter\u00e9s.<\/p>\n

\"\"<\/a><\/div>\n

Un an\u00e1lisis m\u00e1s detallado de la campa\u00f1a ha descubierto artefactos similares dise\u00f1ados para atacar a entidades surcoreanas, espec\u00edficamente individuos dentro de la comunidad pol\u00edtica y diplom\u00e1tica.<\/p>\n

\u00abCreemos que el grupo hab\u00eda estado apuntando a ciertas entidades pertenecientes a las comunidades diplom\u00e1ticas y pol\u00edticas de Corea del Sur y Estados Unidos, espec\u00edficamente aquellas involucradas en asuntos de la pen\u00ednsula de Corea, discusiones pol\u00edticas de Corea del Norte y di\u00e1logos de seguridad del Indo-Pac\u00edfico\u00bb, dijo Acronis.<\/p>\n

\u00abLo que destaca es la ampliaci\u00f3n de los objetivos del grupo, desde entidades gubernamentales de EE. UU. con se\u00f1uelos geopol\u00edticos, hasta el sector bancario de la India a trav\u00e9s de implantes integrados con referencias al HDFC Bank y ventanas emergentes disfrazadas de software bancario leg\u00edtimo, y ahora a c\u00edrculos pol\u00edticos de Corea del Sur y EE. UU. a trav\u00e9s de la suplantaci\u00f3n de una figura prominente en la diplomacia de la pen\u00ednsula de Corea, entregada a trav\u00e9s de cuentas de Gmail falsificadas y puesta en escena de Google Drive\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han descubierto una nueva variante de un conocido malware llamado LOTUSLITA que se distribuye a trav\u00e9s de un tema relacionado con el sector bancario de la India. \u00abLa puerta trasera se comunica con un servidor din\u00e1mico de comando y control basado en DNS a trav\u00e9s de HTTPS y admite acceso remoto a […]<\/p>\n","protected":false},"author":1,"featured_media":630,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[834,1996,1595,24,70,833,571,52,1993,1994,312,1995,1997,551,873],"class_list":["post-629","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-bancos","tag-circulos","tag-corea","tag-cyberdefensa-mx","tag-del","tag-dirige","tag-india","tag-los","tag-lotuslite","tag-mustang","tag-nueva","tag-panda","tag-politicos","tag-sur","tag-variante"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=629"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/629\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/630"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=629"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=629"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}