L'IRE identifie un autre spécimen de LOTUSLITE
Le 28 mai 2026, les chercheurs ont soumis en aveugle un fichier suspect à Project Ire, l'agent autonome de classification de malwares développé par Microsoft. Le fichier, un DLL Windows portant le nom SmartPrintScreen.Print et identifié par le hash SHA-256 47e51e82...e653, s'est révélé être une variante de LOTUSLITE, une backdoor documentée par l'équipe de recherche sur les menaces d'Acronis (TRU). Problème : ce spécimen précis n'apparaissait dans aucune liste d'indicateurs de compromission (IoC) publiée. Au moment de l'analyse, un seul éditeur sur 72 le signalait sur VirusTotal. Une semaine plus tard, le 4 juin, ce chiffre était monté à 7 sur 70, avec Microsoft, Kaspersky et TrendMicro parmi les détecteurs. Les grands noms de la sécurité endpoint, CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto et ESET, ne le détectaient toujours pas.
Face à cet échec de la détection par signature, Project Ire a produit en une seule passe, sans intervention humaine ni métadonnées contextuelles, un rapport comportemental complet : routine d'installation, structure des paquets de commande-contrôle (C2), identifiants de commandes, mécanisme de persistance et techniques d'obfuscation. Le verdict de l'agent était sans ambiguité : malveillant. Ce résultat illustre l'avantage concret de l'analyse comportementale agentique sur la détection par IoC : une variante peut partager exactement les mêmes tactiques, techniques et procédures (TTP) qu'une famille connue sans déclencher une seule alerte, simplement parce que son hash ou ses serveurs C2 sont différents. Pour les équipes de sécurité, c'est précisément dans cet angle mort que les attaquants opèrent.
LOTUSLITE est distribué via une archive ZIP à thème politique, chargée latéralement à travers un lanceur Tencent KuGou renommé. Acronis attribue cette campagne au groupe Mustang Panda, un acteur lié à la Chine, avec un niveau de confiance modéré, sur la base de recoupements d'infrastructure et de la structure loader/DLL. Le rapport Ire pointe également une limite importante de l'analyse pilotée par LLM : l'agent a signalé la présence de la fonction nfapi::nf_unRegisterDriver comme suspecte, mais a explicitement évité de conclure à une interception active de paquets réseau, ce qui aurait été une erreur. La fonction écrit simplement une clé de registre Run pour assurer la persistance. C'est un exemple précis du risque de dérive sémantique : un nom de fonction évocateur peut induire un agent moins rigoureux en erreur, générant de fausses pistes pour les équipes de défense. La publication du rapport complet sur GitHub permet à la communauté de vérifier ce raisonnement pas à pas.
Mustang Panda, acteur étatique lié à la Chine, cible régulièrement des entités gouvernementales et industrielles européennes ; cet article illustre comment l'analyse comportementale agentique peut combler les angles morts des solutions endpoint classiques pour les équipes SOC en France et en UE.
Quand CrowdStrike et SentinelOne passent à côté et qu'un agent LLM sort le rapport comportemental complet sans une seule IoC connue, tu vois exactement pourquoi la détection par signature est à bout de souffle. Ce qui me retient plus que le verdict, c'est le quasi-raté sur nfapi : l'agent a failli conclure à tort à une interception réseau à partir d'un nom de fonction évocateur, et ne l'a pas fait. C'est sur ce genre de rigueur qu'on va vraiment juger ces systèmes.
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
