Un grupo de ciberespionaje vinculado a China atacó a funcionarios del Gobierno estadounidense y a funcionarios relacionados con políticas públicas con correos electrónicos de phishing que tenían temática venezolana. El ciberataque se dio en los días posteriores a la operación estadounidense para derrocar al presidente venezolano Nicolás Maduro, según informaron el jueves investigadores de ciberseguridad.
Esta campaña, de la que no se había informado anteriormente, es el último ejemplo de un grupo chino de ciberespionaje conocido como "Mustang Panda" que utiliza titulares o temas clave de un país determinado como medio para robar datos y establecer puntos de apoyo en entidades gubernamentales estadounidenses.
En este caso, el grupo hizo referencia a la detención de Maduro y su esposa por parte de Estados Unidos, según la Unidad de Investigación de Amenazas de la empresa de ciberseguridad, Acronis.
Descubrió la campaña tras detectar un archivo zip titulado "EE. UU. decide ahora qué hacer con Venezuela", que se subió el 5 de enero a un servicio de análisis de malware de acceso público.
El archivo contenía malware que revelaba código e infraestructura superpuestos con campañas de ciberespionaje anteriores llevadas a cabo por un grupo rastreado por investigadores del sector como Mustang Panda, según afirmaron los investigadores en un informe sobre sus hallazgos.
Según los investigadores, los objetivos específicos de la campaña de piratería informática no estaban claros, y tampoco estaba claro si alguno de ellos había sido comprometido. Según el análisis, si se implantaba, el malware permitiría a sus operadores robar datos de los ordenadores objetivo y permitiría el acceso continuo.
Los investigadores sospechan que el malware tenía como objetivo entidades gubernamentales estadounidenses y entidades no identificadas relacionadas con la política, basándose en indicadores técnicos asociados con la muestra que se subió para su análisis y los tipos de organizaciones que han sido objetivo de Mustang Panda en el pasado.
Según el análisis, el malware incluido en el archivo zip se compiló a las 06:55 GMT del 3 de enero, pocas horas después de que comenzara la operación estadounidense para detener a Maduro. Los investigadores afirmaron que una muestra del malware se subió al entorno aislado a las 08:27 GMT del 5 de enero, el mismo día en que Maduro y su esposa, Cilia Flores, se declararon inocentes de los cargos de narcotráfico y tenencia de armas en un tribunal de Manhattan.
Subhajeet Singha, ingeniero inverso y analista de malware de Acronis y uno de los autores del análisis, dijo en una entrevista que los hackers en este caso parecían estar actuando con rapidez para aprovechar una situación geopolítica de gran interés y rápido desarrollo, dejando algunos artefactos que ayudaron a vincular el malware con operaciones anteriores de Mustang Panda.
"Estos tipos tenían prisa", dijo Singha, y añadió que el trabajo de los hackers no era de la misma calidad que los esfuerzos anteriores.
El Departamento de Justicia de EE. UU. dijo en una declaración de enero de 2025 que Mustang Panda era un "grupo de hackers patrocinado por la República Popular China", al que se le había pagado para desarrollar malware de espionaje y penetrar en redes objetivo.
Un portavoz de la embajada china en Washington dijo en un correo electrónico: "China se ha opuesto sistemáticamente y ha combatido legalmente todas las formas de actividades de piratería informática, y nunca fomentará, apoyará ni tolerará los ciberataques. China se opone firmemente a la difusión de información falsa sobre las llamadas 'amenazas cibernéticas chinas' con fines políticos".
El FBI se negó a hacer comentarios.
Por AJ Vicens
