Kina-tilknyttede hackere brugte Venezuela-krisen som lokkemad i USA-fokuseret phishing

Ifølge cybersikkerhedsforskere sendte en kinesisk-tilknyttet cyberefterretningsorganisation venezuela-tema phishing-mails til amerikanske regerings- og politiske embedsmænd i dagene efter en amerikansk operation for at afsætte Venezuelas præsident Nicolas Maduro.

Den hidtil ukendte kampagne viser, hvordan en mangeårig kinesisk cyberspionagecelle kendt som "Mustang Panda" fortsat udnytter store politiske forandringer for at få adgang til nøglenetværk.

Ifølge Reuters' rapport brugte gruppen en hurtigt udviklende geopolitisk situation til at friste mål til at åbne ondsindede filer, hvilket kunne give hackere mulighed for at stjæle data og bevare adgang til kompromitterede systemer.

Forskere siger, at indsatsen blev opdaget gennem teknisk analyse frem for offeroplysninger, og det er uklart, om nogen mål var reelt inficerede.

Malware opdaget ved hjælp af en offentlig analyseplatform

Acronis' Threat Research Unit opdagede kampagnen efter at have identificeret en mistænkelig zip-fil, der var uploadet til en offentlig malwareanalyseside.

Filen, med overskriften "USA beslutter nu, hvad der er næste skridt for Venezuela," blev delt den 5. januar.

Virussen i samlingen delte kode og infrastruktur med tidligere cyberspionageaktiviteter, som brancheanalytikere havde knyttet til Mustang Panda.

I en artikel, der opsummerer deres resultater, udtalte Acronis-forskere, at disse overlap hjalp med at forbinde den nyligt opdagede virus med gruppens tidligere aktiviteter.

Ifølge undersøgelsen ville malwaren, hvis den blev implanteret på et måls maskine, have kunnet stjæle data og etablere persistens, hvilket muliggjorde fortsat adgang.

Forskerne udtalte dog, at de ikke kunne identificere kampagnens præcise mål eller fastslå, om nogen infektioner var effektive.

Timing i forhold til den amerikanske operation

Ifølge analysen blev virusset i zip-filen genereret kl. 06:55 GMT den 3. januar, kun få timer efter at USA havde lanceret sin kampagne for at arrestere Maduro.

En prøve af virussen blev derefter uploadet til analyse-sandboxen kl. 08:27 GMT den 5. januar.

Forskerne rapporterer, at Maduro og hans kone, Cilia Flores, nægtede sig skyldige i narkotika- og våbenanklager i en domstol i Manhattan samme dag.

Den tætte sammenhæng mellem malwarens skabelse og de begivenheder, der udspillede sig i Venezuela, afslørede, at hackerne havde til formål at udnytte situationens øgede interesse.

Ifølge Acronis-forskere omfattede de mistænkte mål amerikanske regeringsorganer og uspecificerede politiske grupper.

Denne vurdering var baseret på tekniske indikatorer forbundet med malware-prøven og de typer virksomheder, som Mustang Panda tidligere har angrebet.

Tegn på hastighed frem for præcision

Subhajeet Singha, en reverse engineer og malwareekspert hos Acronis og en af analysens forfattere, udtalte, at kampagnen virkede forhastet sammenlignet med tidligere forsøg, der blev tilskrevet organisationen.

"Disse fyre havde travlt," forklarede Singha og tilføjede, at hackernes arbejde ikke nåede samme kvalitetsstandarder som tidligere Mustang Panda-operationer.

Den hast, hævdede han, efterlod tekniske artefakter, der gjorde det muligt for eksperter at forbinde infektionen med tidligere forsøg.

Den tilsyneladende hastværk fremhævede, hvordan banden reagerer på hurtigt skiftende geopolitiske omstændigheder og tilpasser sine teknikker til aktuelle overskrifter i et forsøg på at øge muligheden for, at målene engagerer sig i ondsindet indhold.

Officielle svar og tilskrivninger

I en erklæring fra januar 2025 brandede det amerikanske justitsministerium Mustang Panda som en "gruppe hackere sponsoreret af Folkerepublikken Kina" og hævdede, at organisationen blev betalt for at skabe overvågningsmalware og få adgang til målrettede netværk.

I en e-mail afviste en repræsentant for den kinesiske ambassade i Washington fremstillingen og sagde: "Kina har konsekvent modsat sig og lovligt bekæmpet alle former for hackingaktiviteter og vil aldrig opmuntre, støtte eller godkende cyberangreb."

Kina fordømmer kraftigt spredningen af falske oplysninger om påståede 'kinesiske cybertrusler' til politiske formål."

FBI ønskede ikke at kommentere forskningsresultaterne

Selvom kampagnens indvirkning er ukendt, viser eksemplet, hvordan cyberspionagegrupper fortsat bruger globale politiske kriser som indgange til regerings- og politikrelaterede netværk, tilføjede forskerne.