#CyberMagazyn: Co łączy Wenezuelę i chińskich cyberszpiegów?

Aktorzy zagrożeń wykorzystują napięcia geopolityczne do prowadzenia precyzyjnie zaplanowanych kampanii szpiegowskich. Grupy APT (Advanced Persistent Threat), powiązane z państwami lub przez nie sponsorowane, potrafią bardzo szybko reagować na bieżące wydarzenia polityczne i społeczne.

Przykładem jest grupa Mustang Panda, która łączy klasyczne techniki cyberwywiadu z agresywną socjotechniką opartą na tematach intensywnie nagłaśnianych przez media.

Grupa Mustang Panda

Mustang Panda (znana też jako TA416, RedDelta, BRONZE PRESIDENT, CAMARO DRAGON, Twill Typhoon) to grupa APT powiązana z interesami Chińskiej Republiki Ludowej. Działa co najmniej od 2012 r. i specjalizuje się w długoterminowych operacjach cyberszpiegowskich, wymierzonych w cele o znaczeniu politycznym, militarnym i strategicznym.

Wykorzystuje przede wszystkim spear-phishing ze spreparowanymi wiadomościami e-mail, które zawierają złośliwe linki lub załączniki prowadzące do pobrania kodu atakującego. W atakach stosowane są także techniki masquerading, czyli podszywanie się pod legalne narzędzia i procesy, co ułatwia uniknięcie wykrycia przez systemy bezpieczeństwa.

TTP (MITRE ATT&CK ) – najważniejsze techniki i przykłady

Initial Access:

• Spearphishing (link/załącznik), LNK icon smuggling (T1566.\*, T1027.012)
• Adversary‑in‑the‑Middle/captive portal hijack (T1557)
• Hosting ładunków w web services (Dropbox/Google Drive) (T1583.006)
• Web shell China Chopper (T1505.003)

Execution:

• DLL side‑loading i hijack execution flow (np. IRSetup.exe) (T1574/T1574.005)
• WScript/JavaScript (T1059.007), meterpreter (T1059)
• Shared modules/LoadLibrary, Native API, process injection (T1106, T1055)
• Opóźnienia wykonania przez „ping sleep" (T1497.003)

Persistence/Privilege Escalation/Defense Evasion:

• BYOVD/Exploitation for PrivEsc (T1068)
• Legalne/odwołane podpisy i certyfikaty kodu (T1553.002, T1588.003/004)
• Timestomp, usuwanie wskaźników (T1070.006/T1070), debugger evasion (T1622)
• Protocol/Service Impersonation, FakeTLS (T1001.003)
• DLL sideloading jako rdzeń łańcucha (T1574.002)

Discovery i Lateral Movement:

• AdFind/NBTscan; Domain Accounts/Groups, Remote System/Service Discovery (T1087.002, T1069.002, T1018, T1046)
• SMB Admin Shares, OpenSSH, nadużycie narzędzi wdrożeniowych (SCCM/AV tools) (T1021.002, T1572, T1072)

Credential Access:

• LSASS dump, Mimikatz DCSync, „Hdump" (T1003.001, T1003.006, T1003)

Command & Control:

• IDE Tunneling (VSCode code.exe tunnel), SSH/port‑forwarding (T1219.001/T1572)
• Traffic signaling/magic packets (T1205)
• FakeTLS, własne certyfikaty C2 (T1001.003, T1588.004)
• Reverse shells (TCP), Non‑app layer protocol (T1095)

Collection/Exfiltration:

• Exfil przez C2 (T1041), FTP (T1048.003), do chmury (Dropbox) (T1567.002)

Sytuacja w Wenezueli

Jak informuje agencja Reutera, najnowsza kampania chińskiej grupy została ujawniona w styczniu br. i jest bezpośrednio powiązana z eskalacją napięć wokół sytuacji w Wenezueli.

Kampania polegała na wysyłce spreparowanych wiadomości phishingowych do amerykańskich instytucji rządowych oraz analityków politycznych. Atakujący wykorzystywali archiwum ZIP zatytułowane „US now deciding what’s next for Venezuela”.

Wewnątrz archiwum znajdowało się złośliwe oprogramowanie, którego kod oraz infrastruktura odpowiadały wcześniejszym kampaniom Mustang Panda. Jego celem była kradzież danych oraz utrzymanie długotrwałego dostępu do przejętych systemów.

Z raportu opublikowanego przez Baysec wynika, że cyberprzestrzeń Wenezueli stała się areną hybrydowej wojny jeszcze przed początkiem 2026 roku.

W grudniu zeszłego roku doszło do incydentu u państwowego giganta naftowego PDVSA, w wyniku którego administracyjne sieci zarządzania logistyką eksportową zostały sparaliżowane i firma musiała czasowo wrócić do manualnego prowadzenia operacji. To zdarzenie zostało zakwalifikowane jako ransomware-like i miało poważne implikacje dla funkcjonowania największego sektora eksportowego Wenezueli.

Raport szczegółowo opisuje aktywność różnych grup cyberprzestępczych, które systematycznie atakowały infrastruktury publiczne i prywatne w Wenezueli. Wśród wymienionych są m.in. LockBit5, Lynx, Sinobi, Akira, alphv (BlackCat), Satined33.

Tempo działania cyberprzestępców

To, co wyróżnia ten przypadek na tle innych kampanii cyberszpiegowskich, to przede wszystkim tempo działania. Malware został skompilowany zaledwie kilka godzin po rozpoczęciu operacji militarnej USA w Wenezueli, a następnie opublikowany w ciągu 48 godzin od kluczowych wydarzeń politycznych. Takie „wykorzystanie okazji” świadczy o coraz większej zwinności atakujących.

Poprzednie działania tej samej grupy również opierały się na tworzeniu malware odnoszącego się do bieżącej sytuacji politycznej. W 2022 roku na łamach CyberDefence24 opisywaliśmy kampanię, w której Mustang Panda wykorzystywała narracje związane z inwazją Rosji na Ukrainę oraz pandemią COVID-19.

W tych atakach złośliwe oprogramowanie było rozprzestrzeniane poprzez spreparowane dokumenty lub linki, które odwoływały się do bieżących wydarzeń, mając na celu wzbudzenie zaufania odbiorców i zmuszenie ich do otwarcia załącznika lub kliknięcia odnośnika.

Geopolityka a cyberzagrożenia

Ważne wydarzenia geopolityczne niemal zawsze wiążą się ze wzmożoną aktywnością cyberprzestępców oraz grup sponsorowanych przez państwa. Atakujący świadomie wykorzystują zwiększone zainteresowanie opinii publicznej i presję informacyjną, podszywając się pod instytucje państwowe oraz media, aby skłonić nas do nieostrożnych działań.

Świadomość tych mechanizmów jest kluczowa, ponieważ pozwala wcześniej wdrożyć podwyższone środki bezpieczeństwa, wzmocnić monitoring oraz przygotować pracowników na próby manipulacji.

Brak czujności w takich momentach znacząco zwiększa ryzyko skutecznego ataku, którego konsekwencje mogą wykraczać daleko poza sferę techniczną i realnie wpływać na stabilność państwa oraz bezpieczeństwo obywateli.