Kina-tilknyttede hackere brukte Venezuela-krisen som lokkemiddel for USA-fokusert phishing

Ifølge cybersikkerhetsforskere sendte en kinesisk-tilknyttet cyberspionasjeorganisasjon phishing-eposter med Venezuela-tema til amerikanske myndigheter og politiske myndigheter i dagene etter en amerikansk operasjon for å avsette Venezuelas president Nicolas Maduro.

Den tidligere ukjente kampanjen viser hvordan en langvarig kinesisk cyberspionasjecelle kjent som «Mustang Panda» fortsetter å utnytte store politiske endringer for å få tilgang til nøkkelnettverk.

Ifølge Reuters' rapport brukte gruppen en raskt utviklende geopolitisk situasjon for å friste mål til å åpne ondsinnede filer, noe som kan gjøre det mulig for hackere å stjele data og opprettholde tilgang til kompromitterte systemer.

Forskere sier at prosjektet ble oppdaget gjennom teknisk analyse snarere enn offeropplysninger, og det er uklart om noen mål faktisk var infisert.

Skadelig programvare oppdaget ved bruk av en offentlig analyseplattform

Acronis' Threat Research Unit oppdaget kampanjen etter å ha identifisert en mistenkelig zip-fil lastet opp til en offentlig malware-analyseside.

Filen, med overskriften «USA bestemmer nå hva som skjer videre for Venezuela», ble delt 5. januar.

Viruset i samlingen delte kode og infrastruktur med tidligere cyberspionasjeaktiviteter knyttet til Mustang Panda av bransjeanalytikere.

I en artikkel som oppsummerte funnene deres, uttalte Acronis-forskerne at disse overlappene bidro til å knytte det nylig oppdagede viruset til gruppens tidligere aktiviteter.

Ifølge etterforskningen, hvis skadevaren ble implantert på en måls maskin, ville operatørene kunne stjele data og etablere vedvarende programvare, noe som tillot fortsatt tilgang.

Forskerne uttalte imidlertid at de ikke klarte å identifisere kampanjens eksakte mål eller fastslå om noen infeksjoner var effektive.

Tidspunkt i forhold til den amerikanske operasjonen

Ifølge analysen ble viruset i zip-filen generert klokken 06:55 GMT den 3. januar, knapt timer etter at USA startet sin kampanje for å arrestere Maduro.

En prøve av viruset ble deretter lastet opp til analysesandkassen kl. 08:27 GMT 5. januar.

Forskerne rapporterer at Maduro og hans kone, Cilia Flores, erklærte seg ikke skyldige i narkotika- og våpenrelaterte anklager i en rettssal i Manhattan samme dag.

Den nære sammenhengen mellom opprettelsen av skadevaren og hendelsene i Venezuela avslørte at hackerne hadde som mål å utnytte situasjonens økte interesse.

Ifølge forskere fra Acronis inkluderte de mistenkte målene amerikanske myndigheter og uspesifiserte politiske grupper.

Denne vurderingen var basert på tekniske indikatorer knyttet til malware-prøven og hvilke typer selskaper Mustang Panda tidligere har angrepet.

Tegn på hastighet fremfor presisjon

Subhajeet Singha, en omvendt ingeniør og malware-ekspert hos Acronis og en av analysens forfattere, uttalte at kampanjen virket forhastet sammenlignet med tidligere forsøk tilskrevet organisasjonen.

"Disse karene hadde det travelt," forklarte Singha, og la til at hackernes arbeid ikke nådde samme kvalitetsstandarder som tidligere Mustang Panda-operasjoner.

Den hastverket, hevdet han, etterlot tekniske artefakter som gjorde det mulig for eksperter å knytte infeksjonen til tidligere forsøk.

Den tilsynelatende hastverket fremhevet hvordan gjengen reagerer på raskt skiftende geopolitiske omstendigheter, og tilpasser teknikkene sine til dagens overskrifter i et forsøk på å øke muligheten for at målene kan engasjere seg i ondsinnet innhold.

Offisielle svar og tilskrivelser

I en uttalelse fra januar 2025 merket det amerikanske justisdepartementet Mustang Panda som en «gruppe hackere sponset av Folkerepublikken Kina», og hevdet at organisasjonen ble betalt for å lage overvåkningsskadelig programvare og få tilgang til målrettede nettverk.

I en e-post avviste en representant for den kinesiske ambassaden i Washington fremstillingen, og sa: «Kina har konsekvent motsatt seg og lovlig bekjempet alle former for hacking, og vil aldri oppmuntre til, støtte eller godkjenne cyberangrep.»

Kina fordømmer på det sterkeste spredningen av falsk informasjon om påståtte 'kinesiske cybertrusler' for politiske formål.»

FBI ønsket ikke å kommentere forskningsfunnene

Selv om kampanjens innvirkning er ukjent, viser eksempelet hvordan cyber-etterretningsgrupper fortsetter å bruke globale politiske kriser som inngangspunkter til regjerings- og politikkrelaterte nettverk, la forskerne til.