Kina-kopplade hackare använde Venezuelakrisen som lockbete för USA-fokuserad nätfiske

Enligt cybersäkerhetsforskare skickade en kinesisk-ansluten cyberspionageorganisation nätfiske-e-postmeddelanden med Venezuela-tema till amerikanska myndigheter och policymyndigheter dagarna efter en amerikansk operation för att avsätta Venezuelas president Nicolas Maduro.

Den tidigare okända kampanjen visar hur en långvarig kinesisk cyberspionagecell känd som "Mustang Panda" fortsätter att utnyttja stora politiska förändringar för att få tillgång till nyckelnätverk.

Enligt Reuters rapport använde gruppen en snabbt utvecklande geopolitisk situation för att locka mål att öppna skadliga filer, vilket kan göra det möjligt för hackare att stjäla data och behålla tillgång till komprometterade system.

Forskare säger att projektet upptäcktes genom teknisk analys snarare än offrens avslöjanden, och det är oklart om några mål effektivt var infekterade.

Skadlig kod upptäckt med hjälp av en offentlig analysplattform

Acronis' Threat Research Unit upptäckte kampanjen efter att ha identifierat en misstänkt zip-fil som laddats upp på en offentlig malware-analyssida.

Filen, med rubriken "USA bestämmer nu vad som händer för Venezuela", delades den 5 januari.

Viruset i samlingen delade kod och infrastruktur med tidigare cyberspionageaktiviteter kopplade till Mustang Panda av branschanalytiker.

I en artikel som sammanfattar deras resultat uppgav Acronis-forskarna att dessa överlappningar hjälpte till att koppla det nyupptäckta viruset till gruppens tidigare aktiviteter.

Enligt utredningen, om skadlig kod implanterats på en måls maskin, skulle dess operatörer ha kunnat stjäla data och etablera persistens, vilket möjliggör fortsatt åtkomst.

Forskarna uppgav dock att de inte kunde identifiera kampanjens exakta mål eller fastställa om några infektioner var effektiva.

Tidpunkt i förhållande till den amerikanska operationen

Enligt analysen genererades viruset i zip-filen klockan 06:55 GMT den 3 januari, knappt några timmar efter att USA inlett sin kampanj för att arrestera Maduro.

Ett prov av viruset laddades sedan upp till analyssandlådan klockan 08:27 GMT den 5 januari.

Forskarna rapporterar att Maduro och hans fru, Cilia Flores, nekade till narkotika- och vapenbrott i en domstol i Manhattan samma dag.

Den nära kopplingen mellan malwarens skapande och de pågående händelserna i Venezuela visade att hackarna siktade på att dra nytta av situationens ökade intresse.

Enligt Acronis-forskare inkluderade de misstänkta målen amerikanska myndigheter och ospecificerade policyrelaterade grupper.

Denna bedömning baserades på tekniska indikatorer kopplade till skadlig kod och de typer av företag som Mustang Panda tidigare attackerat.

Kännetecken på hastighet framför precision

Subhajeet Singha, en reverse engineer och expert på skadlig kod på Acronis och en av analysens författare, uppgav att kampanjen verkade forcerad jämfört med tidigare försök som tillskrivits organisationen.

"De här killarna hade bråttom," förklarade Singha och tillade att hackarnas arbete inte nådde samma kvalitetsstandarder som tidigare Mustang Panda-operationer.

Den brådskan, hävdade han, lämnade efter sig tekniska artefakter som gjorde det möjligt för experter att koppla infektionen till tidigare insatser.

Den till synes brådska belyste hur gänget reagerar på snabbt föränderliga geopolitiska omständigheter, och anpassar sina tekniker efter aktuella rubriker i ett försök att öka möjligheten att måltavlor kommer att engagera sig i skadligt innehåll.

Officiella svar och tillskrivanden

I ett uttalande från januari 2025 kallade USA:s justitiedepartement Mustang Panda för en "grupp hackare sponsrade av Folkrepubliken Kina" och hävdade att organisationen betalats för att skapa övervakningsskadlig kod och få tillgång till riktade nätverk.

I ett mejl motbevisade en representant för den kinesiska ambassaden i Washington framställningen och sade: "Kina har konsekvent motsatt sig och lagligt bekämpat alla former av hackningsaktiviteter och kommer aldrig att uppmuntra, stödja eller godkänna cyberattacker."

Kina fördömer starkt spridningen av falsk information om påstådda 'kinesiska cyberhot' i politiska syften."

FBI avstod från att kommentera forskningsresultaten

Även om kampanjens påverkan är okänd, visar exemplet hur cyberspionagegrupper fortsätter att använda globala politiska kriser som ingångar till statliga och policyrelaterade nätverk, tillade forskarna.