Hackers met China-connecties gebruikten de crisis in Venezuela als lokmiddel voor phishing met een Amerikaanse focus

Volgens cyberbeveiligingsonderzoekers stuurde een aan China gelieerde cyberspionageorganisatie Venezuela-thema phishing-e-mails naar Amerikaanse overheids- en beleidsfunctionarissen in de dagen na een Amerikaanse operatie om de Venezolaanse president Nicolas Maduro af te zetten.

De tot dan toe onbekende campagne laat zien hoe een al lang bestaande Chinese cyberspionagecel, bekend als "Mustang Panda", grote politieke veranderingen blijft benutten om toegang te krijgen tot belangrijke netwerken.

Volgens het rapport van Reuters gebruikte de groep een snel zich ontwikkelende geopolitieke situatie om doelwitten te verleiden kwaadaardige bestanden te openen, wat hackers in staat zou kunnen stellen data te stelen en toegang te behouden tot gecompromitteerde systemen.

Onderzoekers zeggen dat de onderneming is ontdekt door technische analyse in plaats van door slachtoffers, en het is onduidelijk of er daadwerkelijk doelwitten zijn geïnfecteerd.

Malware ontdekt met een openbaar analyseplatform

De Threat Research Unit van Acronis ontdekte de campagne nadat ze een verdachte zip-file hadden geïdentificeerd die was geüpload naar een openbare malware-analysesite.

Het dossier, met als kop "US Now Deciding What is Next for Venezuela," werd gedeeld op 5 januari.

Het virus in de collectie deelde code en infrastructuur met eerdere cyber-spionageactiviteiten die door industrie-analisten aan Mustang Panda werden gelinkt.

In een artikel waarin hun bevindingen werden samengevat, verklaarden Acronis-onderzoekers dat deze overlappingen hielpen het nieuw ontdekte virus te verbinden met de eerdere activiteiten van de groep.

Volgens het onderzoek zouden de gebruikers, als de malware op de machine van een doelwit was geïmplanteerd, gegevens kunnen stelen en persistentie hebben kunnen opbouwen, waardoor verdere toegang mogelijk is.

De onderzoekers gaven echter aan dat ze de exacte doelen van de campagne niet konden vaststellen of of infecties effectief waren.

Timing ten opzichte van de Amerikaanse operatie

Volgens de analyse werd het virus in het zipbestand om 06:55 GMT op 3 januari gegenereerd, nauwelijks enkele uren nadat de Verenigde Staten hun campagne waren gestart om Maduro te arresteren.

Een monster van het virus werd vervolgens om 08:27 GMT op 5 januari geüpload naar de analysesandbox.

De onderzoekers melden dat Maduro en zijn vrouw, Cilia Flores, op dezelfde dag onschuldig hebben gepleit voor drugs- en wapenbeschuldigingen in een gerechtsgebouw in Manhattan.

De nauwe afstemming tussen het ontstaan van de malware en de zich ontvouwende gebeurtenissen in Venezuela toonde aan dat de hackers probeerden te profiteren van de toegenomen interesse in de situatie.

Volgens onderzoekers van Acronis waren de vermoedelijke doelwitten Amerikaanse overheidsinstanties en niet-gespecificeerde beleidsgerelateerde groepen.

Deze beoordeling was gebaseerd op technische indicatoren die verband houden met het malwaremonster en de soorten bedrijven die Mustang Panda eerder heeft aangevallen.

Tekenen van snelheid boven precisie

Subhajeet Singha, een reverse engineer en malware-expert bij Acronis en een van de auteurs van de analyse, verklaarde dat de campagne gehaast leek in vergelijking met eerdere pogingen die aan de organisatie werden toegeschreven.

"Deze gasten hadden haast," legde Singha uit, en voegde eraan toe dat het werk van de hackers niet aan dezelfde kwaliteitsnormen voldeed als eerdere operaties van Mustang Panda.

Die haast, beweerde hij, liet technische artefacten achter die experts in staat stelden de infectie te koppelen aan eerdere pogingen.

De schijnbare urgentie benadrukte hoe de bende reageert op snel veranderende geopolitieke omstandigheden, waarbij ze hun technieken afstemmen op de huidige krantenkoppen om de kans te vergroten dat doelwitten kwaadaardige inhoud zullen gebruiken.

Officiële reacties en toeschrijvingen

In een verklaring van januari 2025 bestempelde het Amerikaanse ministerie van Justitie Mustang Panda als een "groep hackers gesponsord door de Volksrepubliek China," en stelde dat de organisatie betaald werd om surveillance malware te creëren en toegang te krijgen tot doelgerichte netwerken.

In een e-mail weerlegde een vertegenwoordiger van de Chinese ambassade in Washington de weergave en zei: "China heeft consequent alle vormen van hackactiviteiten bestreden en juridisch bestreden en zal cyberaanvallen nooit aanmoedigen, steunen of goedkeuren."

China veroordeelt ten zeerste de verspreiding van valse informatie over vermeende 'Chinese cyberdreigingen' voor politieke doeleinden."

De FBI weigerde commentaar te geven op de onderzoeksresultaten

Hoewel de impact van de campagne onbekend is, laat het voorbeeld zien hoe cyberspionagegroepen wereldwijde politieke crises blijven gebruiken als toegangspoorten tot overheids- en beleidsgerelateerde netwerken, voegden onderzoekers toe.