米国がベネズエラのマドゥロ大統領を拘束した作戦から数日後、中国の国家支援型サイバー脅威アクターが事件に便乗したフィッシング攻撃を仕掛けていたことがわかった。標的は米国政府と政策関係者だ。サイバーセキュリティ企業Acronisの脅威研究部門が1月15日に公表した。

きっかけは、1月5日にVirusTotalなどの公開マルウェア分析サイトで見つかった不審なZIPファイルだった。ファイル名は「US now deciding what’s next for Venezuela（米国はベネズエラの次の一手を検討中）」。フィッシングメールを受け取った誰かが安全確認のためにアップロードしたとみられる。Acronisの研究者がこれを発見し、調査を開始した。

中身を調べると、正規の実行ファイルに見せかけたローダーと悪意あるDLLファイル（部品ファイル）が入っていた。このDLLの正体は「LOTUSLITE」と名付けられた新種のバックドアで、感染したPCに潜伏し、外部サーバーと通信しながらデータを盗み出す機能を持つ。

タイムラインを見ると、攻撃者の動きの速さが際立つ。マルウェアがコンパイルされたのは世界標準時で 1月3日午前6時55分。米軍がマドゥロ拘束作戦を開始してからわずか数時間後だった。Acronisのマルウェアアナリストは「彼らは相当急いでいた」と指摘する。急いで作成したためコードの作り込みが甘く、過去のMustang Panda作戦で使われたマルウェアとの類似点が多数残っていた。これが帰属特定の決め手になったという。

Acronisはこれらの技術的重複から国家支援型サイバー脅威アクター「Mustang Panda」（別名：Twill Typhoon）による攻撃と「中程度の確信度」で結論づけた。米司法省は2025年1月、Mustang Pandaを「中国政府が資金を提供するハッカー集団」と認定しており、2014年以降、米国や欧州・アジアの政府機関、企業、中国の反体制派などを標的にしてきたとされる。

これに対し、在ワシントン中国大使館の報道官は「中国は一貫してあらゆるハッキング行為に反対し、法に基づいて取り締まっている。サイバー攻撃を奨励・支援することは決してない」と反論した。FBIはコメントを控えている。

今回の攻撃で実際に被害が出たかどうかは不明だ。ただ、国際的な事件が起きるたびにそれを「餌」にして政府関係者を狙う手口は、Mustang Pandaの常套手段として知られている。地政学リスクが高まる局面では、関連テーマのメールや添付ファイルへの警戒が一層重要になる。