Les logiciels malveillants SpiceRAT et SugarGh0st déployés par des pirates informatiques chinois dans le cadre d'une campagne d'espionnage mondiale révélant SneakyChef

Un acteur menaçant parlant chinois, jusqu'alors inconnu, désormais connu sous le nom de SneakyChef, a été associé à une vaste opération d'espionnage ciblant des organismes gouvernementaux en Asie, en Europe, au Moyen-Orient et en Afrique (EMEA). Cette campagne, en cours depuis au moins août 2023, utilise le malware SugarGh0st, selon les chercheurs Chetan Raghuprasad et Ashley Shen de Cisco Talos.

SneakyChef emploie des tactiques trompeuses en utilisant des documents numérisés provenant d'agences gouvernementales, en particulier celles associées aux ministères des Affaires étrangères ou aux ambassades. La société de cybersécurité a mis en évidence ces activités pour la première fois fin novembre 2023, révélant une campagne d'attaque axée sur la Corée du Sud et l'Ouzbékistan qui utilisait une variante personnalisée de Gh0st RAT, nommée SugarGh0st.

Une analyse plus approfondie réalisée par Proofpoint en mai 2024 a révélé le déploiement de SugarGh0st RAT contre des organisations américaines impliquées dans l'intelligence artificielle, couvrant le monde universitaire, l'industrie privée et le secteur gouvernemental. Ce cluster d'activité a été suivi sous le nom UNK_SweetSpecter.

Notamment, la campagne SneakyChef correspond à ce que l’unité 42 de Palo Alto Networks a appelé l’opération Diplomatic Spectre. Selon l'Unité 42, cette activité se poursuit depuis fin 2022, ciblant les entités gouvernementales du Moyen-Orient, d'Afrique et d'Asie. Cisco Talos a depuis observé que le même malware semble se concentrer sur diverses entités gouvernementales en Angola, en Inde, en Lettonie, en Arabie Saoudite et au Turkménistan, sur la base de documents leurres utilisés dans des campagnes de spear phishing. Cela indique une portée croissante des pays ciblés.

La nouvelle vague d'attaques continue non seulement d'utiliser des fichiers de raccourci Windows (LNK) intégrés dans les archives RAR pour diffuser SugarGh0st, mais utilise également des archives RAR auto-extractibles (SFX) comme vecteur d'infection initial. Cette méthode lance un Visual Basic Script (VBS) qui exécute le malware via un chargeur tout en affichant un fichier leurre à la victime.

Les attaques contre l'Angola sont particulièrement remarquables par l'introduction d'un nouveau cheval de Troie d'accès à distance , baptisé SpiceRAT. Ces attaques utilisent des leurres du « Neytralny Turkmenistan », un journal russophone du Turkménistan. SpiceRAT se propage à travers deux chaînes d’infection différentes. Une chaîne utilise un fichier LNK dans une archive RAR, déployant le logiciel malveillant via des techniques de chargement latéral de DLL. Lors de l'extraction du fichier RAR, un dossier caché et un fichier LNK sont déposés sur la machine de la victime. L'ouverture du fichier LNK, déguisé en PDF, exécute une commande intégrée qui lance un exécutable malveillant à partir du dossier caché, affiche un document leurre et charge une DLL malveillante pour charger SpiceRAT.

La deuxième variante implique une application HTML (HTA) qui supprime un script batch Windows et un binaire de téléchargement codé en Base64. Le script batch planifie l'exécution du binaire du téléchargeur toutes les cinq minutes et un autre exécutable, "ChromeDriver.exe", toutes les 10 minutes, qui charge une DLL malveillante qui charge SpiceRAT. Chaque composant (ChromeDriver.exe, la DLL et la charge utile RAT) est extrait d'une archive ZIP récupérée d'un serveur distant.

SpiceRAT utilise des techniques de chargement latéral de DLL pour lancer un chargeur de DLL qui vérifie le débogage des processus en cours avant d'exécuter son module principal à partir de la mémoire. Grâce à ses capacités de téléchargement et d'exécution de fichiers binaires exécutables et de commandes arbitraires, SpiceRAT élargit considérablement la surface d'attaque sur le réseau de la victime, ouvrant la voie à de nouvelles intrusions.

Cisco Talos souligne le risque accru posé par ces méthodes d'attaque sophistiquées, soulignant l'importance de mesures de cybersécurité vigilantes pour se protéger contre ces menaces avancées.