Um conjunto de e-mails de phishing que citava a suposta captura de Nicolás Maduro serviu de porta de entrada para uma nova ofensiva de hackers ligados à China.
As mensagens circularam logo depois da operação americana que derrubou o ex-presidente venezuelano e miravam funcionários do governo dos Estados Unidos.
A iniciativa foi atribuída ao Mustang Panda, grupo acusado de espionagem digital em diversas partes do mundo.
Pesquisadores da Acronis identificaram o ataque ao encontrar um arquivo malicioso hospedado em um serviço público de análise de vírus.
O material, enviado em 5 de janeiro, apresentava o título “EUA agora decidem os próximos passos para a Venezuela” e carregava um código alinhado a campanhas antigas do mesmo grupo.
A descoberta recoloca o Mustang Panda no centro das atenções sobre segurança digital e chama a atenção dos leitores do Olhar Tec Digital.
E-mails usavam prisão de Maduro como isca
De acordo com a Threat Research Unit da Acronis, os invasores mencionaram a apreensão de Maduro e de sua esposa, Cilia Flores, para despertar curiosidade de servidores públicos americanos e especialistas em políticas públicas.
O truque seguia a cartilha de ataques cibernéticos já observados em outras operações: aproveitar manchetes quentes para induzir o clique em arquivos ou links comprometidos.
A referência ao líder venezuelano fazia sentido, pois o tema dominava o noticiário internacional naqueles dias.
Ao abrir o arquivo compactado, a vítima iniciava, sem perceber, a instalação de um malware capaz de roubar informações e manter acesso permanente ao sistema contaminado.
Código malicioso surgiu horas após operação americana
Os analistas rastrearam a compilação do malware até 3 de janeiro, às 6h55 no horário de Greenwich, poucas horas depois de a ação comandada pelos EUA contra Maduro ganhar o mundo.
Essa velocidade indica que os cibercriminosos trabalhavam com pressa para aproveitar a repercussão do episódio e, assim, aumentar a eficácia dos ataques cibernéticos.
A amostra do vírus acabou submetida ao serviço de varredura de malware às 8h27 de 5 de janeiro.
No mesmo dia, Maduro e Cilia Flores se declararam inocentes num tribunal de Manhattan das acusações de narcotráfico e tráfico de armas, fato também citado indiretamente nos e-mails fraudulentos.
Objetivo era invadir redes governamentais
Embora não haja confirmação sobre quais máquinas foram efetivamente comprometidas, a Acronis acredita que o alvo principal incluía órgãos do governo norte-americano e entidades responsáveis por formular políticas públicas.
A suspeita baseia-se no histórico do Mustang Panda e em indicadores técnicos encontrados no código analisado.
Caso o arquivo fosse executado com sucesso, o programa malicioso permitiria extrair dados sensíveis, monitorar atividades e manter canais de comunicação secretos com os servidores de comando dos invasores.
Esse tipo de acesso contínuo representa ameaça séria, sobretudo quando afeta estruturas de alta relevância para a administração federal.
Imagem: jornal diário
Rastros ligam ofensiva ao Mustang Panda
O engenheiro reverso Subhajeet Singha, da Acronis, declarou que a pressa em lançar a campanha deixou pistas que reforçam a ligação com o Mustang Panda.
Segundo ele, a infraestrutura de servidores, a forma de compactação dos arquivos e até o padrão de nomenclatura repetem práticas vistas em outras investidas assinadas pelo mesmo grupo.
Apesar da reconhecida habilidade do coletivo patrocinado pela China, Singha notou menor sofisticação nesta rodada de ataques cibernéticos.
Mesmo assim, destacou que o perigo permanece alto, pois basta um clique em um anexo contaminado para que o malware se espalhe pela rede interna da vítima.
Pequim nega envolvimento
Em janeiro de 2025, o Departamento de Justiça dos EUA classificou publicamente o Mustang Panda como um grupo financiado pela República Popular da China, criado para desenvolver ferramentas de espionagem e acessar redes de interesse estratégico.
O posicionamento oficial reforça a tese de patrocínio estatal por trás da ofensiva descoberta.
A embaixada chinesa em Washington, no entanto, refutou qualquer participação.
Em mensagem enviada à imprensa, um porta-voz declarou que a China condena todas as formas de hacking, combate essas práticas dentro da lei e não incentiva nem tolera ataques cibernéticos, criticando ainda a “disseminação de informações falsas” sobre ameaças digitais atribuídas ao país.
Até o momento, não há relato público de dados comprometidos ou de medidas de contenção adotadas pelas agências americanas.
A investigação continua, enquanto especialistas alertam que eventos geopolíticos sensíveis tendem a ser usados novamente como isca em futuras campanhas de phishing.
