Hackers vinculados a China utilizaron la crisis de Venezuela como señuelo en el phishing centrado en Estados Unidos

Según investigadores de ciberseguridad, una organización de ciberespionaje vinculada a China envió correos electrónicos de phishing con temática venezolana a funcionarios del gobierno y políticas estadounidenses en los días posteriores a una operación estadounidense para deponer al presidente venezolano Nicolás Maduro.

La campaña, hasta entonces desconocida, demuestra cómo una célula china de ciberespionaje de larga trayectoria conocida como "Mustang Panda" sigue explotando grandes cambios políticos para acceder a redes clave.

Según el informe de Reuters, el grupo utilizó una situación geopolítica en rápido desarrollo para tentar a los objetivos a abrir archivos maliciosos, lo que podría permitir a los hackers robar datos y mantener el acceso a sistemas comprometidos.

Los investigadores afirman que el esfuerzo fue descubierto mediante análisis técnico y no mediante divulgaciones de las víctimas, y no está claro si algún objetivo fue efectivamente infectado.

Malware descubierto mediante una plataforma pública de análisis

La Unidad de Investigación de Amenazas de Acronis descubrió la campaña tras identificar un archivo zip sospechoso subido a un sitio público de análisis de malware.

El archivo, titulado "Estados Unidos decide ahora qué sigue para Venezuela", se compartió el 5 de enero.

El virus de la colección compartía código e infraestructura con actividades previas de ciberespionaje vinculadas a Mustang Panda por analistas del sector.

En un artículo que resumía sus hallazgos, los investigadores de Acronis afirmaron que estas superposiciones ayudaron a vincular el virus recién detectado con las actividades previas del grupo.

Según la investigación, si el malware se implantaba en la máquina del objetivo, sus operadores habrían podido robar datos y establecer persistencia, permitiendo el acceso continuo.

Sin embargo, los investigadores afirmaron que no pudieron identificar los objetivos exactos de la campaña ni establecer si alguna infección era efectiva.

Calendario relativo a la operación estadounidense

Según el análisis, el virus del archivo zip se generó a las 06:55 GMT del 3 de enero, apenas unas horas después de que Estados Unidos iniciara su campaña para arrestar a Maduro.

Una muestra del virus fue subida entonces al sandbox de análisis a las 08:27 GMT del 5 de enero.

Los investigadores informan que Maduro y su esposa, Cilia Flores, se declararon no culpables de cargos relacionados con narcóticos y armas en un juzgado de Manhattan ese mismo día.

La estrecha alineación entre la creación del malware y los acontecimientos en Venezuela reveló que los hackers pretendían capitalizar el creciente interés de la situación.

Según investigadores de Acronis, los objetivos sospechosos incluían organismos gubernamentales estadounidenses y grupos relacionados con políticas no especificados.

Esta evaluación se basó en indicadores técnicos asociados a la muestra de malware y en los tipos de empresas que Mustang Panda ha atacado anteriormente.

Señales de velocidad sobre precisión

Subhajeet Singha, ingeniero inverso y experto en malware en Acronis y uno de los autores del análisis, afirmó que la campaña parecía apresurada en comparación con intentos anteriores atribuidos a la organización.

"Estos tipos iban con prisas", explicó Singha, añadiendo que el trabajo de los hackers no alcanzaba los mismos estándares de calidad que las operaciones anteriores de Mustang Panda.

Esa prisa, afirmó, dejó tras de sí artefactos técnicos que permitieron a los expertos relacionar la infección con intentos previos.

La aparente urgencia puso de manifiesto cómo la banda responde a las circunstancias geopolíticas que cambian rápidamente, adaptando sus técnicas a los titulares actuales para aumentar la posibilidad de que los objetivos interactúen con contenido malicioso.

Respuestas y atribuciones oficiales

En un comunicado de enero de 2025, el Departamento de Justicia de EE. UU. calificó a Mustang Panda como un "grupo de hackers patrocinados por la República Popular China", afirmando que la organización fue pagada para crear malware de vigilancia y acceder a redes objetivo.

En un correo electrónico, un representante de la embajada china en Washington refutó la descripción, diciendo: "China se ha opuesto de forma constante y ha combatido legalmente todas las formas de actividades de hackeo, y nunca fomentará, apoyará ni aprobará los ciberataques."

China condena enérgicamente la difusión de información falsa sobre supuestas 'amenazas cibernéticas chinas' con fines políticos."

El FBI declinó hacer comentarios sobre los hallazgos de la investigación

Aunque el impacto de la campaña es desconocido, el caso demuestra cómo los grupos de ciberespionaje siguen utilizando crisis políticas globales como puntos de entrada a redes gubernamentales y relacionadas con políticas, añadieron los investigadores.