Hackeri legați de China au folosit criza Venezuelei ca atracție pentru phishing-ul axat pe SUA

Potrivit cercetătorilor în securitate cibernetică, o organizație de spionaj cibernetic cu legătură cu China a trimis emailuri de phishing cu tematică venezueleană către oficiali guvernamentali și politici americane în zilele care au urmat unei operațiuni americane de detronare a președintelui venezuelean Nicolas Maduro.

Campania necunoscută anterior demonstrează cum o celulă chineză de spionaj cibernetic de lungă durată, cunoscută sub numele de "Mustang Panda", continuă să exploateze schimbări politice majore pentru a obține acces la rețele cheie.

Potrivit raportului Reuters, grupul a folosit o situație geopolitică care se desfășura rapid pentru a atrage ținte să deschidă fișiere malițioase, ceea ce ar putea permite hackerilor să fure date și să mențină accesul la sistemele compromise.

Cercetătorii spun că această încercare a fost descoperită prin analize tehnice, nu prin dezvăluiri ale victimelor, și nu este clar dacă vreo țintă a fost infectată efectiv.

Malware descoperit folosind o platformă publică de analiză

Unitatea de Cercetare a Amenințărilor a Acronis a descoperit campania după ce a identificat un fișier zip suspect încărcat pe un site public de analiză a malware-ului.

Dosarul, intitulat "SUA decid acum ce urmează pentru Venezuela", a fost distribuit pe 5 ianuarie.

Virusul din colecție împărtășea cod și infrastructură cu activitățile anterioare de spionaj cibernetic legate de Mustang Panda de către analiști din industrie.

Într-un articol care rezumă concluziile lor, cercetătorii Acronis au afirmat că aceste suprapuneri au ajutat la legarea virusului nou detectat de activitățile anterioare ale grupului.

Potrivit investigației, dacă malware-ul ar fi fost implantat pe mașina țintei, operatorii acesteia ar fi putut fura date și stabili persistență, permițând accesul continuu.

Totuși, cercetătorii au declarat că nu au reușit să identifice țintele exacte ale campaniei sau să stabilească dacă vreo infecție a fost eficientă.

Momentul în raport cu operațiunea din SUA

Conform analizei, virusul din fișierul zip a fost generat la ora 06:55 GMT pe 3 ianuarie, la doar câteva ore după ce Statele Unite au lansat campania de arestare a lui Maduro.

Un eșantion al virusului a fost apoi încărcat în sandbox-ul de analiză la ora 08:27 GMT, pe 5 ianuarie.

Cercetătorii raportează că Maduro și soția sa, Cilia Flores, au pledat nevinovat de acuzațiile legate de narcotice și arme într-un tribunal din Manhattan în aceeași zi.

Alinierea strânsă dintre crearea malware-ului și evenimentele în desfășurare în Venezuela a arătat că hackerii urmăreau să profite de interesul crescut al situației.

Potrivit cercetătorilor Acronis, țintele suspectate includeau organisme guvernamentale americane și grupuri nespecificate legate de politici publice.

Această evaluare s-a bazat pe indicatori tehnici asociați cu eșantionul de malware și tipurile de companii pe care Mustang Panda le-a atacat anterior.

Semne de viteză în detrimentul preciziei

Subhajeet Singha, inginerie inversă și expert în malware la Acronis și unul dintre autorii analizei, a declarat că campania a părut grăbită în comparație cu încercările anterioare atribuite organizației.

"Acești tipi s-au grăbit," a explicat Singha, adăugând că munca hackerilor nu a atins aceleași standarde de calitate ca operațiunile anterioare Mustang Panda.

Această grabă, susținea el, a lăsat în urmă artefacte tehnice care au permis experților să lege infecția de eforturile anterioare.

Urgența aparentă a evidențiat modul în care banda răspunde la circumstanțe geopolitice în schimbare rapidă, adaptându-și tehnicile la titlurile actuale pentru a crește posibilitatea ca țintele să interacționeze cu conținut malițios.

Răspunsuri oficiale și atribuiri

Într-o declarație din ianuarie 2025, Departamentul de Justiție al SUA a etichetat Mustang Panda drept un "grup de hackeri sponsorizat de Republica Populară Chineză", susținând că organizația a fost plătită pentru a crea malware de supraveghere și a accesa rețele țintite.

Într-un e-mail, un reprezentant al ambasadei chineze din Washington a infirmat această prezentare, spunând: "China s-a opus constant și a combatut legal toate formele de activități de hacking și nu va încuraja, susține sau tolera niciodată atacurile cibernetice."

China condamnă ferm răspândirea informațiilor false privind presupusele "amenințări cibernetice chineze" în scopuri politice."

FBI a refuzat să comenteze rezultatele cercetării

Deși impactul campaniei este necunoscut, acest caz demonstrează cum grupurile de spionaj cibernetic continuă să folosească crizele politice globale ca puncte de intrare în rețele guvernamentale și politice, au adăugat cercetătorii.