Hacker legati alla Cina hanno usato la crisi venezuelana come esca per il phishing focalizzato sugli Stati Uniti

Secondo i ricercatori della cybersecurity, un'organizzazione di spionaggio informatico collegata alla Cina ha inviato email di phishing a tema venezuelano a funzionari governativi e politici statunitensi nei giorni successivi a un'operazione statunitense per deporre il presidente venezuelano Nicolás Maduro.

La campagna, fino ad allora sconosciuta, dimostra come una cellula di cyberspionaggio cinese di lunga data nota come "Mustang Panda" continui a sfruttare grandi cambiamenti politici per ottenere accesso a reti chiave.

Secondo il rapporto di Reuters, il gruppo ha sfruttato una situazione geopolitica in rapido sviluppo per tentare i bersagli ad aprire file dannosi, il che potrebbe permettere agli hacker di rubare dati e mantenere l'accesso a sistemi compromessi.

I ricercatori affermano che l'impresa è stata scoperta tramite analisi tecniche piuttosto che tramite divulgazioni alle vittime, e non è chiaro se qualche bersaglio fosse effettivamente contagiato.

Malware scoperto tramite una piattaforma di analisi pubblica

L'Unità di Ricerca sulle Minacce di Acronis ha scoperto la campagna dopo aver identificato un file zip sospetto caricato su un sito pubblico di analisi malware.

Il fascicolo, intitolato "Gli Stati Uniti ora decidono cosa fare per il Venezuela", è stato condiviso il 5 gennaio.

Il virus presente nella collezione condivideva codice e infrastruttura con precedenti attività di spionaggio informatico collegate a Mustang Panda da analisti del settore.

In un articolo che riassume i loro risultati, i ricercatori di Acronis hanno affermato che queste sovrapposizioni hanno contribuito a collegare il virus appena rilevato alle attività precedenti del gruppo.

Secondo l'indagine, se il malware fosse stato impiantato sulla macchina di un bersaglio, i suoi operatori avrebbero potuto rubare dati e stabilire la persistenza, consentendo un accesso continuo.

Tuttavia, i ricercatori hanno dichiarato di non essere riusciti a identificare gli obiettivi esatti della campagna né a stabilire se eventuali infezioni fossero efficaci.

Tempistica rispetto all'operazione negli Stati Uniti

Secondo l'analisi, il virus nel file zip è stato generato alle 06:55 GMT del 3 gennaio, a malapena poche ore dopo che gli Stati Uniti avevano lanciato la loro campagna per arrestare Maduro.

Un campione del virus è stato poi caricato nel sandbox di analisi alle 08:27 GMT del 5 gennaio.

I ricercatori riferiscono che Maduro e sua moglie, Cilia Flores, si sono dichiarati non colpevoli di narcotici e armi in un tribunale di Manhattan lo stesso giorno.

La stretta allineazione tra la creazione del malware e gli eventi in corso in Venezuela ha rivelato che gli hacker miravano a sfruttare l'interesse crescente della situazione.

Secondo i ricercatori di Acronis, i presunti obiettivi includevano enti governativi statunitensi e gruppi politici non specificati.

Questa valutazione si basava su indicatori tecnici associati al campione di malware e sui tipi di aziende che Mustang Panda aveva precedentemente attaccato.

Segni di velocità rispetto alla precisione

Subhajeet Singha, ingegnere inverso ed esperto di malware presso Acronis e uno degli autori dell'analisi, ha dichiarato che la campagna è sembrata affrettata rispetto ai precedenti tentativi attribuiti all'organizzazione.

"Questi ragazzi erano di fretta," ha spiegato Singha, aggiungendo che il lavoro degli hacker non raggiungeva gli stessi standard di qualità delle precedenti operazioni Mustang Panda.

Quella fretta, sosteneva, aveva lasciato artefatti tecnici che hanno permesso agli esperti di collegare l'infezione a tentativi precedenti.

L'apparente urgenza ha evidenziato come la banda risponda a circostanze geopolitiche in rapido cambiamento, adattando le sue tecniche ai titoli attuali nel tentativo di aumentare la possibilità che i bersagli interagiscano con contenuti dannosi.

Risposte ufficiali e attribuzioni

In una dichiarazione del gennaio 2025, il Dipartimento di Giustizia degli Stati Uniti ha definito Mustang Panda un "gruppo di hacker sponsorizzati dalla Repubblica Popolare Cinese", sostenendo che l'organizzazione fosse stata pagata per creare malware di sorveglianza e accedere a reti mirate.

In una email, un rappresentante dell'ambasciata cinese a Washington ha confutato questa descrizione, affermando: "La Cina si è costantemente opposta e ha combattuto legalmente tutte le forme di attività di hacking, e non incoraggierà mai, sosterrà o giustificherà attacchi informatici."

La Cina condanna fermamente la diffusione di informazioni false riguardanti presunte 'minacce cibernetiche cinesi' per scopi politici."

L'FBI ha rifiutato di commentare i risultati della ricerca

Sebbene l'impatto della campagna sia sconosciuto, l'esempio dimostra come i gruppi di cyberspionaggio continuino a utilizzare crisi politiche globali come punti di accesso alle reti governative e politiche, hanno aggiunto i ricercatori.