Çin bağlantılı hackerlar, Venezuela krizini ABD odaklı oltalamada cazibe olarak kullandı

Siber güvenlik araştırmacılarına göre, Çin bağlantılı bir siber casusluk kuruluşu, Venezuela Devlet Başkanı Nicolas Maduro'yu devretmek için düzenlenen ABD operasyonunun ardından ABD hükümet ve politika yetkililerine Venezuela temalı oltalama e-postaları gönderdi.

Daha önce bilinmeyen bu kampanya, uzun süredir devam eden Çin siber casusluk hücresi olan "Mustang Panda"nın büyük siyasi değişiklikleri kullanarak kilit ağlara erişim sağlamaya devam ettiğini gösteriyor.

Reuters'ın raporuna göre, grup hızla gelişen jeopolitik durumu kullanarak hedefleri kötü amaçlı dosyaları açmaya teşvik etti; bu da hackerların veri çalmasına ve tehlikeye girmiş sistemlere erişimini sürdürmesine olanak tanıyabilir.

Araştırmacılar, bu girişimin mağdur açıklamaları yerine teknik analizlerle keşfedildiğini ve herhangi bir hedefin etkili bir şekilde enfekte edilip edilmediğinin net olmadığını söylüyor.

Kamuya açık analiz platformu kullanılarak zararlı yazılım keşfedildi

Acronis'in Tehdit Araştırma Birimi, kamuya açık bir kötü amaçlı yazılım analiz sitesine yüklenen şüpheli bir zip dosyasını tespit ettikten sonra kampanyayı keşfetti.

"ABD şimdi Venezuela için sırada ne olacağına karar veriyor" başlıklı dosya 5 Ocak'ta paylaşıldı.

Koleksiyondaki virüs, sektör analistleri tarafından Mustang Panda ile bağlantılı önceki siber casusluk faaliyetleriyle kod ve altyapıyı paylaşıyordu.

Bulgularını özetleyen bir makalede, Acronis araştırmacıları bu örtüşmelerin yeni tespit edilen virüsü grubun önceki faaliyetleriyle ilişkilendirmeye yardımcı olduğunu belirtti.

Soruşturmaya göre, kötü amaçlı yazılım hedefin makinesine yerleştirilmişse, operatörler veri çalabilir ve kalıcı bir şey kurabilir, böylece erişim devam edebilirdi.

Ancak araştırmacılar, kampanyanın tam hedeflerini belirleyemediklerini veya herhangi bir enfeksiyonun etkili olup olmadığını belirleyemediklerini belirttiler.

ABD operasyonuna göre zamanlama

Analize göre, zip dosyasındaki virüs 3 Ocak 06:55 GMT'de, Amerika Birleşik Devletleri'nin Maduro'yu tutuklama kampanyasını başlatmasından sadece birkaç saat sonra oluşturuldu.

Virüsün bir örneği 5 Ocak 08:27 GMT'de analiz sandbox'a yüklendi.

Araştırmacılar, Maduro ve eşi Cilia Flores'in aynı gün Manhattan'daki bir adliyede uyuşturucu ve silah suçlamalarından suçsuz olduğunu bildiriyor.

Kötü amaçlı yazılımın yaratımı ile Venezuela'daki gelişmeler arasındaki yakın uyum, hackerların durumun artan ilgisinden faydalanmaya çalıştıklarını ortaya koydu.

Acronis araştırmacılarına göre, şüpheli hedefler arasında ABD hükümet kurumları ve belirsiz politika ile ilgili gruplar vardı.

Bu değerlendirme, zararlı yazılım örneğiyle ilgili teknik göstergelere ve Mustang Panda'nın daha önce saldırdığı şirket türlerine dayanıyordu.

Hızın hassasiyetten üstün olması

Acronis'te ters mühendis ve kötü amaçlı yazılım uzmanı ve analizin yazarlarından Subhajeet Singha, kampanyanın örgüte atfedilen önceki girişimlere kıyasla aceleye getirilmiş gibi göründüğünü belirtti.

"Bu adamlar aceleciydi," diye açıkladı Singha, hackerların çalışmalarının önceki Mustang Panda operasyonlarıyla aynı kalite standartlarına ulaşmadığını ekledi.

Bu acelenin, uzmanların enfeksiyonu önceki çalışmalarla ilişkilendirmesini sağlayan teknik artefaktlar bıraktığını iddia etti.

Görünüşteki aciliyet, çetenin hızla değişen jeopolitik koşullara nasıl yanıt verdiğini, tekniklerini güncel manşetlere göre uyarlayarak hedeflerin kötü niyetli içeriklerle etkileşime girme olasılığını artırdığını ortaya koydu.

Resmi yanıtlar ve atıflar

Ocak 2025'te yaptığı açıklamada, ABD Adalet Bakanlığı Mustang Panda'yı "Çin Halk Cumhuriyeti tarafından desteklenen bir hacker grubu" olarak nitelendirdi ve örgütün gözetim amaçlı zararlı yazılım yaratması ve hedeflenen ağlara erişmesi için para aldığını iddia etti.

Washington'daki Çin büyükelçiliğinin bir temsilcisi bir e-postada bu tasviri reddetti ve "Çin, her türlü hackleme faaliyetine sürekli karşı çıktı ve yasal olarak mücadele etti, siber saldırıları asla teşvik etmeyecek, desteklemeyecek veya onaylamayacak" dedi.

Çin, iddia edilen 'Çin siber tehditleri' ile ilgili yanlış bilgilerin siyasi amaçlarla yayılmasını şiddetle kınıyor."

FBI, araştırma bulguları hakkında yorum yapmayı reddetti

Kampanyanın etkisi bilinmese de, bu örnek, araştırmacıların ekleyişine göre, siber casusluk gruplarının küresel siyasi krizleri hükümet ve politika bağlantılı ağlara giriş noktası olarak kullanmaya devam ettiğini gösteriyor.