文章总结： AcronisTRU揭露针对美国政府的LOTUSLITE间谍活动，利用委内瑞拉政治主题ZIP诱饵。攻击者通过DLL侧载执行后门，具备远程控制与数据窃取能力。加载器防御规避有限，显示攻击倾向快速部署，反映利用地缘政治诱饵的间谍趋势。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学

LOTUSLITE：利用美国对委内瑞拉政策为诱饵主题的定向间谍活动

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月16日 09:01 湖北

导读

Acronis威胁研究部门（TRU）观察到一起针对美国政府机构的恶意软件攻击活动，该活动利用了一个带有政治主题的ZIP压缩包，其中包含一个加载器可执行文件和一个恶意DLL文件。该可执行文件用于侧载并执行DLL文件，该DLL文件充当主要后门，被追踪为LOTUSLITE。

后门程序LOTUSLITE是一个定制的 C++ 植入程序，它与硬编码的基于 IP 的命令和控制服务器通信，并支持基本的远程任务和数据泄露，具有相当不错的持久化技术，这表明其能力集侧重于间谍活动，而不是出于经济动机。

该加载器表现出较低的开发成熟度，错误处理能力有限，防御规避能力也有限，这表明它更适合快速部署，而不是长期维护良好的恶意软件框架。

此次攻击活动反映了利用地缘政治诱饵进行有针对性的鱼叉式网络钓鱼的持续趋势，这种趋势倾向于使用可靠的执行技术，例如 DLL 侧加载，而不是基于漏洞利用的初始访问。

调查始于发现一个名为“US now decided what’s what’s next for Venezuela.zip”的鱼叉式网络钓鱼压缩包。该压缩包由一个位于美国的IP地址上传，用于自动恶意软件分析。

压缩包中包含一个合法的可执行文件和一个隐藏的非标准DLL文件。执行该二进制文件后，DLL文件会通过侧载方式加载，从而实现恶意代码的隐蔽执行。

攻击链

技术报告全文：

《LOTUSLITE：利用地缘政治主题的定向间谍活动》

https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/

新闻链接：

https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/

今日安全资讯速递

APT事件

Advanced Persistent Threat

LOTUSLITE：利用地缘政治主题的定向间谍活动

https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/

乌克兰CERT-UA 报告称，乌军遭受 PLUGGYAPE 网络攻击

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

新型Linux恶意软件VoidLink 以云端为目标，窃取凭证后消失

https://www.theregister.com/2026/01/14/voidlink_linux_malware/

波兰称击退了针对其电网的大规模网络攻击

https://therecord.media/poland-cyberattack-grid-russia

以色列Predator间谍软件将失败的攻击转化为未来攻击的情报

https://www.securityweek.com/predator-spywares-granular-anti-analysis-features-exposed/

俄黑客组织APT28发起针对能源和政策机构的凭证窃取活动

https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html

FBI警告称，曹县APT组织Kimsuky正利用钓鱼攻击针对各国政府、智库和学术机构

North Korea–linked APT Kimsuky behind quishing attacks, FBI warns

MuddyWater通过鱼叉式钓鱼在中东地区投放RustyWater远程访问木马

https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html

一般威胁事件

General Threat Incidents

新型“Reprompt”攻击可以悄无声息地窃取微软Copilot数据

https://www.securityweek.com/new-reprompt-attack-silently-siphons-microsoft-copilot-data/

MonetaStealer恶意软件利用人工智能代码攻击macOS用户

MonetaStealer Malware Powered with AI Code Attacking macOS Users in the Wild

Gootloader 现在使用包含 1000 个部分的 ZIP 压缩包进行隐蔽传输

https://www.bleepingcomputer.com/news/security/gootloader-now-uses-1-000-part-zip-archives-for-stealthy-delivery/

韩国企业教源集团遭遇勒索软件攻击，导致其运营中断

A ransomware attack disrupted operations at South Korean conglomerate Kyowon

缅因州医疗保健系统数据泄露事件影响超过14.5万名患者

Central Maine Healthcare data breach impacted over 145,000 patients

美国监管机构要求通用汽车暂停客户追踪计划

https://www.theregister.com/2026/01/15/ftc_gm_tracking_ban/

GhostPoster浏览器恶意软件隐藏5年，安装量达84万次

GhostPoster Browser Malware Hid for 5 Years With 840,000 Installs

漏洞事件

Vulnerability Incidents

4万个WordPress安装面临Modular DS管理后台绕过漏洞的风险

https://www.esecurityplanet.com/threats/40k-wordpress-installs-at-risk-from-modular-ds-admin-bypass/

Palo Alto Networks防火墙漏洞允许攻击者触发拒绝服务攻击

Palo Alto Networks Firewall Vulnerability Allows Attackers To Trigger Denial Of Service

Fortinet FortiSIEM漏洞CVE-2025-64155已被攻击者积极利用

Fortinet FortiSIEM Vulnerability CVE-2025-64155 Actively Exploited in Attacks

Windows远程协助漏洞允许攻击者绕过安全功能

Windows Remote Assistance Vulnerability Allow attacker To bypass Security Features

Firefox 147 版本发布，修复了 16 个可导致任意代码执行的漏洞

Firefox 147 Released With Fixes for 16 Vulnerabilities that Enable Arbitrary Code Execution

Cal.com 存在严重漏洞，攻击者可绕过身份验证并劫持任何用户帐户

Critical Cal.com Vulnerability Let Attackers Bypass Authentication and Hijack any User Account

存在漏洞的旧版 Apache Struts 2 每周下载量达 38.7 万次

Years-Old Vulnerable Apache Struts 2 Versions See 387K Weekly Downloads

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《LOTUSLITE：利用美国对委内瑞拉政策为诱饵主题的定向间谍活动》