Malware SpiceRAT y SugarGh0st implementado por piratas informáticos chinos en una campaña de espionaje global que descubre a SneakyChef

Un actor de amenazas de habla china no denunciado anteriormente, ahora conocido como SneakyChef, ha sido vinculado a una extensa operación de espionaje dirigida a organismos gubernamentales en Asia, Europa, Medio Oriente y África (EMEA). Esta campaña, en curso desde al menos agosto de 2023, utiliza el malware SugarGh0st, según los investigadores Chetan Raghuprasad y Ashley Shen de Cisco Talos.

SneakyChef emplea tácticas engañosas mediante el uso de documentos escaneados de agencias gubernamentales, particularmente aquellas asociadas con Ministerios de Relaciones Exteriores o embajadas. La empresa de ciberseguridad destacó por primera vez estas actividades a finales de noviembre de 2023, revelando una campaña de ataque centrada en Corea del Sur y Uzbekistán que utilizaba una variante personalizada de Gh0st RAT, denominada SugarGh0st.

Un análisis más detallado realizado por Proofpoint en mayo de 2024 descubrió el despliegue de SugarGh0st RAT contra organizaciones estadounidenses involucradas en inteligencia artificial, que abarcan el sector académico, la industria privada y el gobierno. Este grupo de actividad ha sido rastreado bajo el nombre UNK_SweetSpecter.

En particular, la campaña SneakyChef corresponde a lo que la Unidad 42 de Palo Alto Networks ha denominado Operación Espectro Diplomático. Según la Unidad 42, esta actividad ha estado en curso desde finales de 2022, dirigida a entidades gubernamentales en Medio Oriente, África y Asia. Desde entonces, Cisco Talos ha observado que el mismo malware parece estar centrándose en varias entidades gubernamentales en Angola, India, Letonia, Arabia Saudita y Turkmenistán, basándose en documentos señuelo utilizados en campañas de phishing. Esto indica un alcance cada vez mayor de los países objetivo.

La nueva ola de ataques no sólo continúa utilizando archivos de acceso directo de Windows (LNK) integrados en archivos RAR para entregar SugarGh0st, sino que también emplea archivos RAR autoextraíbles (SFX) como vector de infección inicial. Este método inicia un Visual Basic Script (VBS) que ejecuta el malware a través de un cargador mientras muestra un archivo señuelo a la víctima.

Los ataques a Angola destacan especialmente por la introducción de un nuevo troyano de acceso remoto , denominado SpiceRAT. Estos ataques utilizan señuelos de "Neytralny Turkmenistan", un periódico en ruso de Turkmenistán. SpiceRAT se propaga a través de dos cadenas de infección diferentes. Una cadena utiliza un archivo LNK dentro de un archivo RAR, implementando el malware a través de técnicas de carga lateral de DLL. Al extraer el archivo RAR, se colocan una carpeta oculta y un archivo LNK en la máquina de la víctima. Al abrir el archivo LNK, disfrazado de PDF, se ejecuta un comando incrustado que inicia un ejecutable malicioso desde la carpeta oculta, muestra un documento señuelo y descarga una DLL maliciosa para cargar SpiceRAT.

La segunda variante implica una aplicación HTML (HTA) que coloca un script por lotes de Windows y un descargador binario codificado en Base64. El script por lotes programa el binario de descarga para que se ejecute cada cinco minutos y otro ejecutable, "ChromeDriver.exe", cada 10 minutos, lo que descarga una DLL maliciosa que carga SpiceRAT. Cada componente (ChromeDriver.exe, la DLL y la carga útil RAT) se extrae de un archivo ZIP recuperado de un servidor remoto.

SpiceRAT emplea técnicas de carga lateral de DLL para iniciar un cargador de DLL que verifica los procesos en ejecución para depurarlos antes de ejecutar su módulo principal desde la memoria. Con capacidades para descargar y ejecutar archivos binarios ejecutables y comandos arbitrarios, SpiceRAT amplía significativamente la superficie de ataque en la red de la víctima, allanando el camino para futuras intrusiones.

Cisco Talos enfatiza el mayor riesgo que representan estos sofisticados métodos de ataque, subrayando la importancia de medidas vigilantes de ciberseguridad para protegerse contra amenazas tan avanzadas.