Hackers ligados à China usaram a crise da Venezuela como isca para phishing focado nos EUA

Segundo pesquisadores de cibersegurança, uma organização de espionagem cibernética ligada à China enviou e-mails de phishing com temática venezuelana para autoridades do governo e de políticas dos EUA nos dias seguintes a uma operação americana para depor o presidente venezuelano Nicolás Maduro.

A campanha até então desconhecida demonstra como uma célula chinesa de ciberespionagem de longa data conhecida como "Mustang Panda" continua a explorar grandes mudanças políticas para obter acesso a redes-chave.

Segundo o relatório da Reuters, o grupo usou uma situação geopolítica em rápida evolução para atrair alvos a abrir arquivos maliciosos, o que poderia permitir que hackers roubassem dados e mantenham acesso a sistemas comprometidos.

Pesquisadores afirmam que o esforço foi descoberto por meio de análise técnica, e não por revelações das vítimas, e não está claro se algum alvo foi efetivamente infectado.

Malware descoberto usando uma plataforma pública de análise

A Unidade de Pesquisa de Ameaças da Acronis descobriu a campanha após identificar um arquivo zip suspeito enviado para um site público de análise de malware.

O arquivo, com o título "EUA Agora Decidindo o Que Vem a Seguir para a Venezuela", foi compartilhado em 5 de janeiro.

O vírus da coleção compartilhava código e infraestrutura com atividades anteriores de ciberespionagem ligadas ao Mustang Panda por analistas do setor.

Em um artigo que resume suas descobertas, pesquisadores da Acronis afirmaram que essas sobreposições ajudaram a ligar o vírus recém-detectado às atividades anteriores do grupo.

De acordo com a investigação, se o malware fosse implantado na máquina do alvo, seus operadores poderiam roubar dados e estabelecer persistência, permitindo acesso contínuo.

No entanto, os pesquisadores afirmaram que não conseguiram identificar os alvos exatos da campanha nem estabelecer se alguma infecção foi eficaz.

Cronograma em relação à operação dos EUA

De acordo com a análise, o vírus no arquivo zip foi gerado às 06h55 GMT de 3 de janeiro, poucas horas depois que os Estados Unidos lançaram sua campanha para prender Maduro.

Uma amostra do vírus foi então enviada para o sandbox de análise às 08h27 GMT de 5 de janeiro.

Os pesquisadores relatam que Maduro e sua esposa, Cilia Flores, se declararam inocentes das acusações de narcóticos e armas em um tribunal de Manhattan no mesmo dia.

A estreita ligação entre a criação do malware e os acontecimentos que se desenrolam na Venezuela revelou que os hackers buscavam capitalizar o interesse crescente da situação.

Segundo pesquisadores da Acronis, os alvos suspeitos incluíam órgãos do governo dos EUA e grupos relacionados a políticas não especificados.

Essa avaliação foi baseada em indicadores técnicos associados à amostra de malware e aos tipos de empresas que o Mustang Panda já atacou anteriormente.

Sinais de velocidade em vez de precisão

Subhajeet Singha, engenheiro reverso e especialista em malware da Acronis e um dos autores da análise, afirmou que a campanha pareceu apressada em comparação com tentativas anteriores atribuídas à organização.

"Esses caras estavam com pressa", explicou Singha, acrescentando que o trabalho dos hackers não atingia os mesmos padrões de qualidade das operações anteriores do Mustang Panda.

Essa pressa, afirmou ele, deixou artefatos técnicos que permitiram a especialistas relacionar a infecção a esforços anteriores.

A aparente urgência destacou como a gangue responde a circunstâncias geopolíticas em rápida mudança, adaptando suas técnicas às manchetes atuais na tentativa de aumentar a possibilidade de que os alvos interajam com conteúdo malicioso.

Respostas oficiais e atribuições

Em uma declaração de janeiro de 2025, o Departamento de Justiça dos EUA rotulou o Mustang Panda como um "grupo de hackers patrocinado pela República Popular da China", alegando que a organização foi paga para criar malware de vigilância e acessar redes alvo.

Em um e-mail, um representante da embaixada chinesa em Washington refutou a representação, dizendo: "A China tem consistentemente se oposto e combatido legalmente todas as formas de atividades de hacking, e nunca irá incentivar, apoiar ou tolerar ataques cibernéticos."

A China condena veementemente a disseminação de informações falsas sobre supostas 'ameaças cibernéticas chinesas' para fins políticos."

O FBI recusou-se a comentar sobre os resultados da pesquisa

Embora o impacto da campanha seja desconhecido, o caso demonstra como grupos de ciberespionagem continuam a usar crises políticas globais como pontos de entrada em redes governamentais e relacionadas a políticas, acrescentaram pesquisadores.