Kiinaan kytkeytyneet hakkerit käyttivät Venezuelan kriisiä houkuttimena Yhdysvaltoihin keskittyvässä tietojenkalastelussa

Kyberturvallisuustutkijoiden mukaan Kiinaan kytkeytynyt kybervakoilujärjestö lähetti Venezuela-teemaisia tietojenkalastelusähköposteja Yhdysvaltain hallituksen ja politiikan viranomaisille päivinä sen jälkeen, kun Yhdysvallat oli suorittanut operaation Venezuelan presidentti Nicolas Maduron syrjäyttämiseksi.

Aiemmin tuntematon kampanja osoittaa, kuinka pitkään toiminut kiinalainen kybervakoilusolu nimeltä "Mustang Panda" jatkaa suurten poliittisten muutosten hyödyntämistä saadakseen pääsyn keskeisiin verkkoihin.

Reutersin raportin mukaan ryhmä käytti nopeasti kehittyvää geopoliittista tilannetta houkutellakseen kohteita avaamaan haitallisia tiedostoja, mikä voisi mahdollistaa hakkereille datan varastamisen ja pääsyn vaarantuneisiin järjestelmiin.

Tutkijat sanovat, että hanke löydettiin teknisen analyysin kautta, ei uhrien paljastusten kautta, eikä ole selvää, oliko kohteita tehokkaasti tartunnan saanut.

Haittaohjelma paljastettiin julkisella analyysialustalla

Acronisin Threat Research Unit löysi kampanjan havaitsemalla epäilyttävän zip-tiedoston, joka oli ladattu julkiselle haittaohjelma-analyysisivustolle.

Tiedosto, jonka otsikko oli "US Now Decision What to to Venezuela", julkaistiin 5. tammikuuta.

Kokoelman virus jakoi koodin ja infrastruktuurin aiempien kybervakoilutoimintojen kanssa, jotka alan analyytikot yhdistivät Mustang Pandaan.

Tutkimuksessaan, jossa he tiivisivät löydöksiään, Acronisin tutkijat totesivat, että nämä päällekkäisyydet auttoivat yhdistämään juuri löydetyn viruksen ryhmän aiempiin toimintoihin.

Tutkinnan mukaan, jos haittaohjelma olisi istutettu kohteen koneeseen, sen käyttäjät olisivat voineet varastaa tietoja ja luoda jatkuvuutta, mahdollistaen jatkuvan pääsyn.

Tutkijat kuitenkin totesivat, etteivät he pystyneet tunnistamaan kampanjan tarkkoja kohteita tai selvittämään, olivatko mikään tartunta tehokas.

Ajoitus suhteessa Yhdysvaltojen operaatioon

Analyysin mukaan zip-tiedoston virus syntyi 3. tammikuuta klo 06.55 GMT, vain tunteja sen jälkeen kun Yhdysvallat aloitti kampanjansa Maduron pidättämiseksi.

Viruksen näyte ladattiin analyysihiekkalaatikolle klo 08.27 GMT 5. tammikuuta.

Tutkijat raportoivat, että Maduro ja hänen vaimonsa Cilia Flores kiistivät syyllisyytensä huume- ja aseisiin liittyviin syytteisiin Manhattanin oikeustalolla samana päivänä.

Läheinen yhteys haittaohjelman luomisen ja Venezuelan tapahtumien välillä paljasti, että hakkerit pyrkivät hyödyntämään tilanteen lisääntynyttä kiinnostusta.

Acronisin tutkijoiden mukaan epäiltyjä kohteita olivat Yhdysvaltain hallituksen elimet ja määrittelemättömät politiikkaan liittyvät ryhmät.

Tämä arviointi perustui teknisiin indikaattoreihin, jotka liittyivät haittaohjelmanäytteeseen ja siihen, millaisia yrityksiä Mustang Panda on aiemmin hyökännyt.

Nopeuden merkit tarkkuuden sijaan

Subhajeet Singha, Acronisin käänteinen insinööri- ja haittaohjelmaasiantuntija sekä yksi analyysin tekijöistä, totesi, että kampanja vaikutti kiirehtivältä verrattuna aiempiin yrityksiin, jotka on liitetty järjestöön.

"Nämä kaverit olivat kiireessä," Singha selitti ja lisäsi, että hakkerien työ ei yltänyt samoihin laatustandardeihin kuin aiemmat Mustang Panda -operaatiot.

Tuo kiire, hän väitti, jätti jälkeensä teknisiä artefakteja, joiden avulla asiantuntijat pystyivät yhdistämään tartunnan aiempiin yrityksiin.

Näennäinen kiireellisyys korosti, miten jengi reagoi nopeasti muuttuviin geopoliittisiin olosuhteisiin, mukauttaen tekniikoitaan nykyisiin otsikoihin pyrkien lisäämään mahdollisuutta, että kohteet ryhtyvät käyttämään haitallista sisältöä.

Viralliset vastaukset ja viittaukset

Yhdysvaltain oikeusministeriö antoi tammikuussa 2025 lausunnossaan Mustang Pandan "Kiinan kansantasavallan tukemaksi hakkeriryhmäksi", väittäen, että organisaatiolle maksettiin valvontahaittaohjelmien luomisesta ja kohdennettuihin verkkoihin pääsystä.

Sähköpostissa Kiinan Washingtonin suurlähetystön edustaja kiisti kuvauksen sanoen: "Kiina on johdonmukaisesti vastustanut ja laillisesti taistellut kaikkia hakkerointitoimia vastaan, eikä koskaan kannusta, tue tai hyväksy kyberhyökkäyksiä."

Kiina tuomitsee jyrkästi väärän tiedon leviämisen väitetyistä 'kiinalaisista kyberuhkista' poliittisista syistä."

FBI kieltäytyi kommentoimasta tutkimustuloksia

Vaikka kampanjan vaikutus on tuntematon, tapaus osoittaa, kuinka kybervakoiluryhmät jatkavat globaalien poliittisten kriisien käyttämistä sisäänpääsypisteinä hallitukseen ja politiikkaan liittyviin verkostoihin, tutkijat lisäsivät.