Hackers chinos atacan a entidades estadounidenses con malware de temática venezolana

Por AJ Vicens

15 ene (Reuters) - Un grupo de ciberespionaje vinculado a China dirigió correos electrónicos de phishing con temática venezolana a funcionarios del gobierno de Estados Unidos y relacionados con la política en los días posteriores a la operación ‍de Estados Unidos para derrocar al presidente venezolano Nicolás Maduro, dijeron investigadores de ciberseguridad el jueves.

La campaña, de la que hasta ahora no se había informado, es el último ejemplo de un grupo chino de ciberespionaje conocido como "Mustang Panda" que utiliza titulares o temas clave de un país determinado como ‌medio para robar datos y establecer puntos de apoyo en entidades gubernamentales estadounidenses.

En este caso, el grupo hizo referencia a la detención de Maduro y su esposa en Caracas por parte de Estados Unidos, según la Unidad de Investigación de Amenazas de la empresa ​de ciberseguridad Acronis.

Acronis descubrió la campaña después de detectar un archivo zip "EEUU decide ahora lo que sigue para Venezuela" que fue subido ⁠el 5 de enero a un servicio de análisis de malware de acceso público.

El archivo contenía programas maliciosos cuyo código e infraestructura coincidían con anteriores campañas de ciberespionaje llevadas a cabo por un grupo rastreado por los investigadores del ⁠sector como Mustang Panda, según explican los investigadores en ‍un informe sobre sus hallazgos.

Según los investigadores, los objetivos específicos de la campaña de pirateo no estaban ⁠claros, ni tampoco si alguno de ellos se había visto comprometido. Según el análisis, una vez implantado, el malware permitiría a sus operadores robar datos de los ordenadores atacados y habilitar la persistencia para un acceso continuo.

Los investigadores sospechan que el malware iba dirigido a entidades gubernamentales estadounidenses y a ​entidades no identificadas relacionadas con la política, basándose en los indicadores técnicos asociados a la muestra que se subió para su análisis, y en los tipos de organizaciones que han sido históricamente objetivo de Mustang Panda.

El malware incluido en el archivo zip se compiló a las 0655 GMT del ⁠3 de enero, según el análisis, pocas horas después de que comenzara la operación estadounidense para capturar a Maduro. Una muestra ​del malware se cargó en el sandbox a las 0827 GMT del 5 de enero, según los ​investigadores, el mismo día en que ​Maduro y su esposa Cilia Flores se declararon inocentes de cargos de narcotráfico y armas en un tribunal de Manhattan.

Subhajeet Singha, ingeniero inverso y analista ​de malware de Acronis y uno de los autores del análisis, dijo ⁠en una entrevista que los hackers en este caso parecían estar moviéndose rápidamente para aprovechar una situación geopolítica de rápido desarrollo y de gran interés, dejando algunos artefactos que ayudaron a vincular el malware con operaciones anteriores de Mustang Panda.

"Estos tipos se dieron prisa", dijo Singha, añadiendo que el trabajo de los hackers no era de la misma calidad que los esfuerzos anteriores.

El Departamento de Justicia de Estados Unidos afirmó en un comunicado de enero de 2025 ‌que Mustang Panda era un "grupo de hackers patrocinado por la República Popular China", al que se había pagado para desarrollar malware de espionaje y penetrar en redes objetivo.

Un portavoz de la embajada china en Washington dijo en un correo electrónico que "China se ha opuesto sistemáticamente a todas las formas de actividades de piratería informática y las ha combatido legalmente, y nunca fomentará, apoyará ni condonará los ciberataques. China se opone firmemente a la difusión de información falsa sobre las llamadas 'ciberamenazas chinas' con fines políticos".

El FBI declinó hacer comentarios.

(Reportaje de AJ Vicens en Detroit; Edición de Chris Sanders y ‌Jamie Freed. Editado en español por Natalia Ramos)