Un actor de amenazas chino, llamado SneakyChef, ha sido relacionado con una campaña de espionaje que apunta principalmente a entidades gubernamentales en Asia y EMEA (Europa, Medio Oriente y África) utilizando el malware SugarGh0st desde agosto de 2023.
Investigadores de Cisco Talos, Chetan Raghuprasad y Ashley Shen, revelaron que SneakyChef emplea señuelos que son documentos escaneados de agencias gubernamentales, la mayoría de los cuales están relacionados con los Ministerios de Relaciones Exteriores o embajadas de varios países.
Este grupo de piratas informáticos fue identificado por primera vez por la empresa de ciberseguridad hacia finales de noviembre de 2023, atacando a Corea del Sur y Uzbekistán con una variante personalizada del RAT Gh0st llamada SugarGh0st.
Un análisis reciente de Proofpoint descubrió el uso de SugarGh0st RAT contra organizaciones de Estados Unidos involucradas en esfuerzos de inteligencia artificial. Este grupo ahora es rastreado bajo el nombre UNK_SweetSpecter.
Talos también ha observado el mismo malware utilizado para probable enfoque en varias entidades gubernamentales de Angola, India, Letonia, Arabia Saudita y Turkmenistán, basándose en los documentos señuelo utilizados en las campañas de spear-phishing.
Además de utilizar archivos de acceso directo de Windows (LNK) en archivos RAR para entregar SugarGh0st, la nueva ola de ataques emplea un archivo RAR autoextraíble (SFX) como vector de infección inicial para lanzar un Script Básico de Visual (VBS) que ejecuta finalmente el malware.
Los ataques contra Angola también han revelado el uso de un nuevo troyano de acceso remoto llamado SpiceRAT, utilizando señuelos del Neytralny Turkmenistan, un periódico en ruso de Turkmenistán. SpiceRAT emplea dos cadenas de infección diferentes para la propagación, una de las cuales utiliza un archivo LNK dentro de un archivo RAR que despliega el malware mediante técnicas de carga lateral de DLL.
SpiceRAT también aprovecha la técnica de carga lateral de DLL para iniciar un cargador de DLL, que captura la lista de procesos en ejecución para verificar si está siendo depurado, seguido de la ejecución del módulo principal desde la memoria. Con la capacidad de descargar y ejecutar binarios ejecutables y comandos arbitrarios, SpiceRAT aumenta significativamente la superficie de ataque en la red de la víctima, allanando el camino para futuros ataques.
Vía The Hacker News
