O grupo de hackers chinês Lotus Panda tem atacado setores governamentais, de manufatura, telecomunicações e mídia em países como Filipinas, Vietnã, Hong Kong e Taiwan com versões atualizadas do malware Sagerunex, segundo pesquisa da Cisco Talos. Conhecido também como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon e Thrip, o grupo está ativo desde 2009 e foi exposto pela Symantec em 2018. Desde 2016, utiliza o Sagerunex para ataques persistentes e agora desenvolve variantes aprimoradas. Em 2022, a Symantec detalhou suas investidas contra autoridades de certificação digital e agências governamentais na Ásia.

O vetor exato de ataque nos incidentes mais recentes não foi identificado, mas o Lotus Panda é conhecido por usar spear-phishing e ataques watering hole para infiltrar sistemas. A nova variante do Sagerunex, considerada uma evolução do malware Evora, utiliza serviços legítimos como Dropbox, X (Twitter) e Zimbra para comunicação com servidores de controle, dificultando a detecção. A versão baseada no Zimbra se destaca por coletar dados das vítimas e permitir controle remoto por meio do próprio conteúdo do e-mail. O backdoor verifica mensagens na caixa de entrada e, caso detecte um comando válido, executa as instruções e envia os resultados como um arquivo RAR anexado a e-mails nos rascunhos ou na lixeira.

Além do Sagerunex, o Lotus Panda emprega ferramentas como roubo de cookies do Chrome, o proxy open-source Venom, um programa para elevação de privilégios e software para compressão e criptografia de dados capturados. Os hackers realizam reconhecimento da rede por meio de comandos como net, tasklist, ipconfig e netstat. Se o acesso à internet estiver restrito, utilizam as configurações de proxy da vítima ou o Venom para conectar máquinas isoladas a sistemas acessíveis online.