К содержанию
Новости

Project Ire выявил вариант LOTUSLITE, не обнаруженный большинством EDR

Исследователи использовали автономный агент классификации вредоносного ПО Project Ire для анализа образца без предварительного контекста. Система, работающая как LLM‑driven агент, автоматически сформировала поведенческий отчёт по функциям и вынесла вердикт о вредоносности. Образец оказался вариантом LOTUSLITE, Windows DLL backdoor, ранее описанного Acronis. Анализ показал совпадение по TTPs с публично известным семейством, но без совпадения с его IOC.

Ire выполнял анализ без метаданных происхождения, телеметрии или подсказок аналитика, используя decompiler‑инструменты и средства анализа бинарных файлов. Агент подготовил отчёт с разбором install routine, C2 packet layout, command IDs, persistence mechanism и obfuscation; результаты совпали с опубликованным анализом Acronis. При этом бинарный файл прямо упоминает threat actor, однако агент не стал делать атрибуцию и сосредоточился на статическом анализе поведения.

Проанализированный образец имеет хеш 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 и отсутствует в списке IOC Acronis. Когда его обнаружили 28 May, на VirusTotal только 1 из 72 вендоров отмечал файл как вредоносный; через неделю показатель вырос до 7 из 70. В кластере детектов указаны Microsoft Trojan:Win32/Malgent!MSR, Kaspersky HEUR:Trojan-Dropper.Win32.Dorifel.gen, Rising Dropper.Dorifel!8.31E (CLOUD), Cynet (score 100), Elastic (moderate confidence), Kingsoft и TrendMicro-HouseCall. Популярная метка угрозы на VT сместилась к dropper.dorifel / malgent, однако CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto и ESET по‑прежнему не детектируют файл. В VT тип файла указан как pedll (PE DLL), имя, SmartPrintScreen.Print.

Ключевые факты

  • Project Ire проанализировал образец с SHA-256 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 и классифицировал его как вредоносный вариант LOTUSLITE на основе поведенческого анализа функций.

  • Образец не присутствует в списке IOC, опубликованном Acronis для LOTUSLITE, хотя демонстрирует те же TTP.

  • 28 мая 2026 на VirusTotal только 1 из 72 вендоров помечал файл как вредоносный; через неделю показатель составил 7 из 70.

  • По состоянию на 4 июня образец не детектировался CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto и ESET; VirusTotal определяет тип файла как pedll (PE DLL) с именем SmartPrintScreen.Print.