Redaccion El Tequeno Un grupo de ciberespionaje vinculado a China dirigió correos electrónicos de phishing con temática venezolana a funcionarios del gobierno de Estados Unidos y a personas relacionadas con políticas públicas en los días posteriores a la operación estadounidense para derrocar a Nicolás Maduro, dijeron investigadores de ciberseguridad el jueves.
Por Reuters
Esta campaña, que no había sido reportada previamente, es el último ejemplo de un grupo chino de ciberespionaje de larga data conocido como “Mustang Panda”, que utiliza noticias de actualidad o temas clave de un país específico como medio para robar datos y establecer puntos de acceso en entidades del gobierno de Estados Unidos.
En este caso, el grupo hizo referencia a la captura de Maduro y su esposa por parte de Estados Unidos, según la unidad de investigación de amenazas de la firma de ciberseguridad Acronis.
Los investigadores detectaron la campaña después de encontrar un archivo ZIP titulado “US now deciding what’s next for Venezuela” (Estados Unidos ahora decide qué sigue para Venezuela) que fue subido el 5 de enero a un servicio público de análisis de malware.
El archivo contenía malware cuyos códigos e infraestructura coincidían con campañas de ciberespionaje anteriores realizadas por un grupo rastreado por investigadores de la industria como Mustang Panda.
No estaba claro quiénes eran los objetivos específicos de la campaña ni si alguno de ellos fue comprometido. Si el malware hubiera sido implantado, habría permitido a sus operadores robar datos de las computadoras atacadas y mantener acceso permanente, según el análisis.
Los investigadores sospechan que el malware tenía como objetivo entidades del gobierno de Estados Unidos y organizaciones relacionadas con políticas públicas no identificadas, basándose en indicadores técnicos asociados con la muestra que fue subida para su análisis y los tipos de organizaciones que Mustang Panda ha atacado en el pasado.
El malware incluido en el archivo ZIP fue compilado a las 06:55 GMT del 3 de enero, apenas horas después de que comenzara la operación estadounidense para capturar a Maduro. Una muestra del malware fue subida a la plataforma de análisis a las 08:27 GMT del 5 de enero, el mismo día en que Maduro y su esposa Cilia Flores se declararon no culpables de cargos de narcóticos y armas en un tribunal de Manhattan.
Subhajeet Singha, ingeniero reverso y analista de malware en Acronis y uno de los autores del análisis, dijo en una entrevista que los hackers parecían estar moviéndose rápidamente para aprovechar una situación geopolítica que se desarrollaba con rapidez, lo que dejó atrás algunos artefactos que ayudaron a vincular el malware con operaciones anteriores de Mustang Panda.
“Estos tipos estaban apurados”, dijo Singha, y agregó que el trabajo de los piratas informáticos no era de la misma calidad que los esfuerzos anteriores.
El Departamento de Justicia de Estados Unidos dijo en una declaración de enero de 2025 que Mustang Panda era “un grupo de hackers patrocinado por la República Popular China” que habría sido pagado para desarrollar malware de espionaje y penetrar redes objetivo.
Un portavoz de la embajada china en Washington dijo por correo electrónico: “China se ha opuesto de manera constante y ha combatido legalmente todas las formas de actividades de hacking, y nunca alentará, apoyará ni tolerará ciberataques. China se opone firmemente a la difusión de información falsa sobre las llamadas ‘amenazas cibernéticas chinas’ con fines políticos.”
