Por AJ Vicens
Un grupo de ciberespionaje vinculado a China atacó a funcionarios gubernamentales y de política exterior de Estados Unidos con correos electrónicos de phishing sobre Venezuela, días después de la operación estadounidense para derrocar al presidente venezolano Nicolás Maduro, informaron el jueves investigadores de ciberseguridad.
La campaña, de la que no se había informado previamente, es el ejemplo más reciente de un grupo de ciberespionaje chino de larga data conocido como «Mustang Panda», que utiliza titulares o temas clave de un país para robar datos y establecer puntos de acceso en entidades del Gobierno de Estados Unidos.
En este caso, el grupo hizo referencia a la captura de Maduro y su esposa por parte de Estados Unidos, según la Unidad de Investigación de Amenazas de la firma de ciberseguridad Acronis.
La firma descubrió la campaña tras detectar un archivo comprimido titulado «Estados Unidos decide ahora qué sigue para Venezuela», que fue cargado el 5 de enero en un servicio público de análisis de malware.
El archivo contenía código malicioso e infraestructura que coincidían con campañas previas de ciberespionaje llevadas a cabo por Mustang Panda, señalaron los investigadores en un informe sobre sus hallazgos.
Según los expertos, los objetivos específicos de la campaña no estaban claros, como tampoco si alguno de ellos llegó a verse comprometido. De instalarse, el malware permitiría a sus operadores robar datos de las computadoras afectadas y garantizar la persistencia para un acceso continuo, según el análisis.
Los investigadores sospechan que el código malicioso se dirigió a entidades gubernamentales de Estados Unidos y organizaciones políticas no identificadas, basándose en indicadores técnicos asociados a la muestra analizada y en el tipo de organizaciones que Mustang Panda suele atacar.
El malware se compiló a las 06:55 GMT del 3 de enero, según el análisis, apenas unas horas después de que comenzara la operación estadounidense para capturar a Maduro. Una muestra del programa se cargó para su análisis a las 08:27 GMT del 5 de enero, el mismo día en que Maduro y su esposa, Cilia Flores, se declararon inocentes de cargos de narcotráfico y armas en un tribunal de Manhattan.
Subhajeet Singha, analista de malware en Acronis y uno de los autores del estudio, dijo en una entrevista que los hackers parecían estar moviéndose con rapidez para aprovechar una situación geopolítica en pleno desarrollo y de gran interés, dejando rastros que ayudaron a vincular el código con operaciones anteriores de Mustang Panda.
«Tenían prisa», afirmó Singha, quien añadió que el trabajo de los hackers no tenía la misma calidad que sus esfuerzos previos.
El Departamento de Justicia de Estados Unidos señaló en un comunicado de enero de 2025 que Mustang Panda es un «grupo de hackers patrocinado por la República Popular China» al que se le ha pagado para desarrollar programas de espionaje y penetrar en redes de objetivos específicos.
Un portavoz de la embajada de China en Washington dijo en un correo electrónico: «China se ha opuesto sistemáticamente y combate legalmente todas las formas de actividades de piratería informática, y nunca alentará, apoyará ni condonará los ciberataques. China se opone firmemente a la difusión de información falsa sobre las supuestas “ciberamenazas chinas” con fines políticos».
El FBI declinó hacer comentarios.
