Ciberespionaje chino aprovecha crisis en Venezuela para lanzar ataques de phishing contra funcionarios vinculados a EEUU

EEUU.- Un grupo de ciberespionaje presuntamente vinculado a China lanzó una campaña de correos electrónicos maliciosos dirigida contra funcionarios del gobierno de Estados Unidos y actores relacionados con políticas públicas, utilizando como señuelo la situación en Venezuela tras la operación estadounidense que derivó en la captura del expresidente Nicolás Maduro, revelaron investigadores de ciberseguridad.

La campaña, que no había sido reportada previamente, fue atribuida a un grupo conocido como “Mustang Panda”, una célula de ciberespionaje de larga trayectoria asociada a intereses estatales chinos, caracterizada por aprovechar eventos geopolíticos de alto impacto para robar información sensible y establecer accesos persistentes en redes gubernamentales.

Correos maliciosos con referencias a Venezuela

De acuerdo con la Unidad de Investigación de Amenazas de la firma Acronis, los atacantes distribuyeron correos de phishing que hacían referencia directa a la captura de Maduro y su esposa, Cilia Flores, por parte de Estados Unidos.

La campaña fue detectada tras el análisis de un archivo comprimido titulado “Estados Unidos ahora decide qué sigue para Venezuela”, el cual fue cargado el 5 de enero en un servicio público de análisis de malware. El archivo contenía código malicioso cuya infraestructura y características coincidían con operaciones previas atribuidas a Mustang Panda.

Malware diseñado para espionaje persistente

Según el informe técnico, el malware incluido en el archivo permitiría a los atacantes:

• Robar información de los equipos infectados
• Mantener acceso persistente a los sistemas comprometidos
• Facilitar el espionaje continuo de las víctimas

Aunque los investigadores señalaron que no está confirmado si alguno de los objetivos fue efectivamente comprometido, los indicadores técnicos sugieren que la campaña estaba dirigida a entidades gubernamentales estadounidenses y organizaciones vinculadas a la formulación de políticas públicas, objetivos habituales del grupo Mustang Panda.

El análisis reveló que el malware fue compilado a las 06:55 GMT del 3 de enero, apenas unas horas después del inicio de la operación estadounidense contra Maduro.

Dos días después, el 5 de enero, una muestra fue subida a un entorno de análisis, coincidiendo con el día en que Maduro y su esposa se declararon inocentes en un tribunal de Manhattan por cargos relacionados con narcotráfico y armas.

“Actuaron con prisa”

Subhajeet Singha, analista de malware e ingeniero inverso de Acronis y uno de los autores del informe, señaló que los atacantes parecían haber actuado con rapidez para explotar el momento político.

“Estos tipos tenían prisa”, afirmó Singha, quien agregó que la calidad del ataque fue inferior a operaciones previas del grupo, dejando rastros que facilitaron su atribución.

Vínculos con el gobierno chino

En enero de 2025, el Departamento de Justicia de Estados Unidos calificó oficialmente a Mustang Panda como un grupo de piratas informáticos patrocinado por la República Popular China, al que se le habría pagado para desarrollar malware de espionaje y penetrar redes objetivo.

Un portavoz de la embajada de China en Washington rechazó las acusaciones en un comunicado enviado por correo electrónico:

“China se ha opuesto sistemáticamente y ha combatido legalmente toda forma de piratería informática, y jamás fomentará, apoyará ni tolerará los ciberataques. China se opone firmemente a la difusión de información falsa sobre las llamadas ‘ciberamenazas chinas’ con fines políticos”.

El FBI declinó hacer comentarios sobre el caso.

También te puede interesar: Ciberataque a la UNAM: ¿se filtraron correos, contraseñas y datos bancarios?, qué dice la Universidad, cómo operaron los hackers y qué recomendaciones hay para la comunidad