Hakerzy powiązani z Chinami wykorzystali kryzys wenezuelski jako przynętę do phishingu skierowanego na USA

Według badaczy cyberbezpieczeństwa, powiązana z Chinami organizacja cyberszpiegowska wysyłała e-maile phishingowe o tematyce Wenezueli do rządu USA i urzędników politycznych w dniach po amerykańskiej operacji mającej na celu obalenie prezydenta Wenezueli Nicolasa Maduro.

Wcześniej nieznana kampania pokazuje, jak długoletnia chińska komórka cyberszpiegowska znana jako "Mustang Panda" nadal wykorzystuje wielkie zmiany polityczne, aby uzyskać dostęp do kluczowych sieci.

Według raportu Reutersa, grupa wykorzystała szybko rozwijającą się sytuację geopolityczną, aby skusić ofiary do otwarcia złośliwych plików, co mogłoby pozwolić hakerom na kradzież danych i utrzymanie dostępu do przejętych systemów.

Naukowcy twierdzą, że przedsięwzięcie zostało odkryte poprzez analizę techniczną, a nie ujawnienie ofiar, i nie jest jasne, czy którykolwiek z celów został skutecznie zainfekowany.

Złośliwe oprogramowanie odkryte za pomocą publicznej platformy analitycznej

Jednostka Badań Zagrożeń Acronis odkryła kampanię po zidentyfikowaniu podejrzanego pliku zip przesłanego na publiczny serwis analityczny malware.

Plik zatytułowany "USA teraz decydują o tym, co dalej dla Wenezueli" został udostępniony 5 stycznia.

Wirus w kolekcji dzielił kod i infrastrukturę z wcześniejszymi działaniami cyberszpiegowskimi powiązanymi z Mustang Panda przez analityków branżowych.

W artykule podsumowującym swoje ustalenia badacze Acronis stwierdzili, że te nakładania się pomogły powiązać nowo wykrytego wirusa z wcześniejszymi działaniami grupy.

Według śledztwa, gdyby złośliwe oprogramowanie zostało wszczepione na komputerze ofiary, jego operatorzy mogliby kraść dane i ustalić trwałość, co pozwoliłoby na dalszy dostęp.

Jednak badacze stwierdzili, że nie byli w stanie określić dokładnych celów kampanii ani ustalić, czy jakiekolwiek infekcje były skuteczne.

Czas w odniesieniu do operacji amerykańskiej

Według analizy, wirus w pliku zip został wygenerowany o 06:55 GMT 3 stycznia, zaledwie kilka godzin po tym, jak Stany Zjednoczone rozpoczęły kampanię aresztowania Maduro.

Próbka wirusa została następnie przesłana do piaskownicy analitycznej o 08:27 GMT 5 stycznia.

Badacze informują, że Maduro i jego żona, Cilia Flores, tego samego dnia w sądzie na Manhattanie nie przyznali się do winy w sprawie narkotyków i broni.

Ścisła zgodność między powstaniem złośliwego oprogramowania a wydarzeniami rozwijającymi się w Wenezueli ujawniła, że hakerzy chcieli wykorzystać rosnące zainteresowanie sytuacją.

Według badaczy Acronis podejrzewanymi celami były organy rządu USA oraz nieokreślone grupy związane z polityką.

Ocena ta opierała się na wskaźnikach technicznych związanych z próbą złośliwego oprogramowania oraz typami firm, które Mustang Panda wcześniej atakował.

Oznaki szybkości ponad precyzją

Subhajeet Singha, inżynier odwrotny i ekspert od złośliwego oprogramowania w Acronis oraz jeden z autorów analizy, stwierdził, że kampania wydawała się pośpieszna w porównaniu z wcześniejszymi próbami przypisywanymi organizacji.

"Ci ludzie byli w pośpiechu," wyjaśnił Singha, dodając, że praca hakerów nie osiągnęła tych samych standardów jakości co wcześniejsze operacje Mustang Panda.

Ten pośpiech, jak twierdził, pozostawił po sobie artefakty techniczne, które pozwoliły ekspertom powiązać infekcję z wcześniejszymi działaniami.

Pozorna pilność podkreśla, jak gang reaguje na szybko zmieniające się okoliczności geopolityczne, dostosowując swoje metody do aktualnych nagłówków, by zwiększyć szanse na zaangażowanie celów w złośliwe treści.

Oficjalne odpowiedzi i przypisania

W oświadczeniu z stycznia 2025 roku Departament Sprawiedliwości USA określił Mustang Panda jako "grupę hakerów sponsorowanych przez Chińską Republikę Ludową", twierdząc, że organizacja została opłacona za tworzenie złośliwego oprogramowania nadzorczego i dostęp do wycelowanych sieci.

W e-mailu przedstawiciel ambasady Chin w Waszyngtonie zaprzeczył temu przedstawieniu, mówiąc: "Chiny konsekwentnie sprzeciwiały się i legalnie zwalczały wszelkie formy działalności hakerskiej i nigdy nie będą zachęcać, wspierać ani akceptować cyberataków."

Chiny stanowczo potępiają rozpowszechnianie fałszywych informacji dotyczących rzekomych 'chińskich cyberzagrożeń' w celach politycznych."

FBI odmówiło komentarza na temat wyników badań

Choć wpływ kampanii nie jest znany, przypadek pokazuje, jak grupy cyberszpiegowskie nadal wykorzystują globalne kryzysy polityczne jako punkty wejścia do sieci rządowych i politycznych, dodają badacze.