Des hackers liés à la Chine ont utilisé la crise du Venezuela comme appât dans le phishing ciblant les États-Unis

Selon des chercheurs en cybersécurité, une organisation d’espionnage lié à la Chine a envoyé des courriels de phishing sur le thème du Venezuela à des responsables gouvernementaux et politiques américains dans les jours suivant une opération américaine visant à renverser le président vénézuélien Nicolas Maduro.

Cette campagne, jusque-là inconnue, démontre comment une cellule de cyberespionnage chinoise de longue date, connue sous le nom de « Mustang Panda », continue d’exploiter de grands changements politiques pour accéder à des réseaux clés.

Selon le rapport de Reuters, le groupe a utilisé une situation géopolitique en rapide évolution pour inciter les cibles à ouvrir des fichiers malveillants, ce qui pourrait permettre aux hackers de voler des données et de maintenir l’accès à des systèmes compromis.

Les chercheurs affirment que cette opération a été découverte par analyse technique plutôt que par des divulgations des victimes, et il n’est pas clair si des cibles ont été effectivement infectées.

Malware découvert via une plateforme d’analyse publique

L’unité de recherche sur les menaces d’Acronis a découvert la campagne après avoir identifié un fichier zip suspect téléchargé sur un site public d’analyse de malwares.

Le dossier, intitulé « Les États-Unis décident maintenant de la suite pour le Venezuela », a été partagé le 5 janvier.

Le virus de la collection partageait du code et de l’infrastructure avec les activités de cyberespionnage précédentes liées à Mustang Panda par des analystes du secteur.

Dans un article résumant leurs résultats, les chercheurs d’Acronis ont déclaré que ces chevauchements aidaient à relier le virus nouvellement détecté aux activités antérieures du groupe.

Selon l’enquête, si le malware avait été implanté sur la machine d’une cible, ses opérateurs auraient pu voler des données et établir la persistance, permettant ainsi un accès continu.

Cependant, les chercheurs ont déclaré qu’ils n’avaient pas pu identifier les cibles exactes de la campagne ni déterminer si des infections étaient efficaces.

Calendrier par rapport à l’opération américaine

Selon l’analyse, le virus contenu dans le fichier zip a été généré à 06h55 GMT le 3 janvier, à peine quelques heures après que les États-Unis ont lancé leur campagne d’arrestation de Maduro.

Un échantillon du virus a ensuite été téléchargé dans le bac à sable d’analyse à 08h27 GMT le 5 janvier.

Les chercheurs rapportent que Maduro et son épouse, Cilia Flores, ont plaidé non coupable des accusations liées à la stupéfiance et aux armes dans un palais de justice de Manhattan le même jour.

L’alignement étroit entre la création du malware et les événements en cours au Venezuela a révélé que les hackers cherchaient à tirer parti de l’intérêt croissant de la situation.

Selon les chercheurs d’Acronis, les cibles présumées comprenaient des organismes gouvernementaux américains et des groupes liés aux politiques non spécifiés.

Cette évaluation s’est basée sur des indicateurs techniques associés à l’échantillon de malware et aux types d’entreprises que Mustang Panda a déjà attaquées.

Signes de vitesse plutôt que de précision

Subhajeet Singha, ingénieur inverse et expert en logiciels malveillants chez Acronis et l’un des auteurs de l’analyse, a déclaré que la campagne semblait précipitée comparée aux tentatives précédentes attribuées à l’organisation.

« Ces gars étaient pressés », a expliqué Singha, ajoutant que le travail des hackers n’atteignait pas les mêmes standards de qualité que les précédentes opérations Mustang Panda.

Cette précipitation, a-t-il affirmé, laissait derrière elle des artefacts techniques permettant aux experts de relier l’infection aux efforts précédents.

L’urgence apparente a mis en lumière la façon dont le gang réagit à des circonstances géopolitiques en rapide évolution, adaptant ses techniques aux gros titres actuels afin d’augmenter la probabilité que les cibles interagissent avec du contenu malveillant.

Réponses officielles et attributions

Dans un communiqué de janvier 2025, le département de la Justice des États-Unis a qualifié Mustang Panda de « groupe de hackers sponsorisés par la République populaire de Chine », affirmant que l’organisation était payée pour créer des logiciels malveillants de surveillance et accéder à des réseaux ciblés.

Dans un courriel, un représentant de l’ambassade de Chine à Washington a réfuté cette description, déclarant : « La Chine s’est constamment opposée et a légalement combattu toutes les formes d’activités de piratage, et n’encouragera, soutiendra jamais ou ne tolérera jamais les cyberattaques. »

La Chine condamne fermement la diffusion de fausses informations concernant des « menaces cybernétiques chinoises » présumées à des fins politiques. »

Le FBI a refusé de commenter les résultats de la recherche

Bien que l’impact de la campagne soit inconnu, cet exemple montre comment les groupes de cyberespionnage continuent d’utiliser les crises politiques mondiales comme points d’entrée dans les réseaux gouvernementaux et liés aux politiques, ont ajouté des chercheurs.