China-nahe Hacker nutzten die Venezuela-Krise als Lockvogel für US-fokussierte Phishing

Laut Cybersicherheitsforschern hat eine mit China verbundene Cyberspionageorganisation in den Tagen nach einer US-Operation zur Absetzung des venezolanischen Präsidenten Nicolas Maduro Phishing-E-Mails an US-Regierung und politische Behörden geschickt.

Die bisher unbekannte Kampagne zeigt, wie eine langjährige chinesische Cyberspionagezelle namens "Mustang Panda" weiterhin große politische Veränderungen ausnutzt, um Zugang zu wichtigen Netzwerken zu erhalten.

Laut dem Bericht von Reuters nutzte die Gruppe eine sich schnell entwickelnde geopolitische Lage, um Ziele dazu zu verleiten , bösartige Dateien zu öffnen, was es Hackern ermöglichen könnte, Daten zu stehlen und Zugriff auf kompromittierte Systeme zu behalten.

Forscher sagen, dass das Vorhaben durch technische Analysen und nicht durch Opferoffenlegungen entdeckt wurde, und es ist unklar, ob die Ziele tatsächlich infiziert wurden.

Malware entdeckt mit einer öffentlichen Analyseplattform

Die Threat Research Unit von Acronis entdeckte die Kampagne, nachdem sie eine verdächtige Zip-Datei identifiziert hatte, die auf einer öffentlichen Malware-Analyse-Website hochgeladen wurde.

Die Akte mit der Überschrift "US Now Decis, was als Nächstes für Venezuela geht" wurde am 5. Januar geteilt.

Das Virus in der Sammlung teilte Code und Infrastruktur mit früheren Cyberspionageaktivitäten, die von Branchenanalysten mit Mustang Panda in Verbindung gebracht wurden.

In einer Zusammenfassung ihrer Ergebnisse erklärten Acronis-Forscher, dass diese Überschneidungen dazu beitrugen, das neu entdeckte Virus mit den früheren Aktivitäten der Gruppe in Verbindung zu bringen.

Laut der Untersuchung hätte die Malware, wenn sie auf der Maschine eines Ziels implantiert worden wäre, deren Betreiber Daten stehlen und Persistenz etablieren können, was einen weiteren Zugriff ermöglicht.

Die Forscher erklärten jedoch, dass sie die genauen Ziele der Kampagne nicht identifizieren oder feststellen konnten, ob Infektionen wirksam waren.

Zeitplan im Zusammenhang mit der US-Operation

Laut der Analyse wurde das Virus in der Zip-Datei am 3. Januar um 06:55 GMT erzeugt, kaum wenige Stunden nachdem die Vereinigten Staaten ihre Kampagne zur Festnahme Maduros gestartet hatten.

Eine Probe des Virus wurde dann am 5. Januar um 08:27 GMT in die Analyse-Sandbox hochgeladen.

Die Forscher berichten, dass Maduro und seine Frau Cilia Flores am selben Tag in einem Gerichtsgebäude in Manhattan auf nicht schuldig plädierten wegen Drogen- und Waffendelikten.

Die enge Verbindung zwischen der Entstehung der Malware und den sich entfaltenden Ereignissen in Venezuela zeigte, dass die Hacker darauf abzielten, vom gestiegenen Interesse der Situation zu profitieren.

Laut Acronis-Forschern waren die mutmaßlichen Ziele US-Regierungsstellen und nicht näher spezifizierte politisch relevante Gruppen.

Diese Bewertung basierte auf technischen Indikatoren, die mit der Malware-Probe verbunden sind, und den Arten von Unternehmen, die Mustang Panda zuvor angegriffen hat.

Anzeichen von Geschwindigkeit über Präzision

Subhajeet Singha, Reverse Engineering und Malware-Experte bei Acronis und einer der Autoren der Analyse, erklärte, dass die Kampagne im Vergleich zu früheren der Organisation zugeschriebenen Versuchen überhastet wirkte.

"Diese Leute hatten es eilig", erklärte Singha und fügte hinzu, dass die Arbeit der Hacker nicht die gleichen Qualitätsstandards wie frühere Mustang Panda-Operationen entsprach.

Diese Eile, so behauptete er, hinterließ technische Artefakte, die es Experten ermöglichten, die Infektion mit früheren Versuchen in Verbindung zu bringen.

Die scheinbare Dringlichkeit verdeutlichte, wie die Bande auf sich schnell verändernde geopolitische Umstände reagiert und ihre Techniken an aktuelle Schlagzeilen anpasst, um die Möglichkeit zu erhöhen, dass die Ziele mit bösartigen Inhalten interagieren.

Offizielle Antworten und Zuschreibungen

In einer Erklärung vom Januar 2025 bezeichnete das US-Justizministerium Mustang Panda als eine "Gruppe von Hackern, die von der Volksrepublik China gesponsert werden", und behauptete, die Organisation werde dafür bezahlt, Überwachungsmalware zu erstellen und auf gezielte Netzwerke zuzugreifen.

In einer E-Mail wies ein Vertreter der chinesischen Botschaft in Washington die Darstellung zurück und sagte: "China hat konsequent alle Formen von Hackerangriffen abgelehnt und legal bekämpft und wird Cyberangriffe niemals fördern, unterstützen oder billigen."

China verurteilt die Verbreitung von falschen Informationen über angebliche 'chinesische Cyberbedrohungen' zu politischen Zwecken scharf."

Das FBI lehnte es ab, sich zu den Forschungsergebnissen zu äußern

Obwohl die Auswirkungen der Kampagne unbekannt sind, zeigt der Fall, wie Cyberspionagegruppen globale politische Krisen weiterhin als Einstiegspunkte in Regierungs- und politikbezogene Netzwerke nutzen, fügten Forscher hinzu.