Cocina al estilo chino: SneakyChef prepara una revolución geopolítica

El grupo de ciberespionaje SneakyChef ha apuntado a los ministerios de relaciones exteriores y embajadas de al menos 9 países en todo el mundo. Los expertos de Cisco Talos suponen que los ataques son llevados a cabo por hackers chinos que recogen información sobre diversas tensiones geopolíticas en diferentes partes del planeta.

SneakyChef utiliza documentos gubernamentales falsificados como señuelo. La campaña descubierta se caracteriza por un espectro más amplio de objetivos, afectando a países en Europa, Oriente Medio, África y Asia, mientras que anteriormente los atacantes se centraban principalmente en Corea del Sur y Uzbekistán.

Los atacantes utilizaron el método de transmisión de archivos infectados a través de archivos SFX-RAR, que al ser ejecutados se descomprimen y ejecutan un script VB malicioso, guardando malware en el sistema de la víctima.

En el corazón de las operaciones de SneakyChef se encuentra la herramienta de acceso remoto SugarGh0st, presentada por primera vez por Talos en noviembre del año pasado. La herramienta es una versión modificada del conocido Gh0st RAT, utilizado por varios grupos desde 2008, y fue detectado por primera vez en operaciones relacionadas con China.

El nuevo informe de Talos también incluye un análisis de un nuevo troyano de acceso remoto llamado SpiceRAT, que se entrega a los objetivos de SneakyChef desde la misma dirección de correo electrónico. Estos hallazgos destacan la actividad amplia e intensa de los hackers, dirigida a desarrollar software de ciberespionaje contra objetivos geopolíticos clave.

Hasta ahora, SneakyChef se sigue como una campaña o unidad separada, y no hay suficientes pruebas para vincularlos con alguna estructura estatal específica o grupo conocido. Sin embargo, en el informe de mayo de Palo Alto Networks Unit 42, algunas actividades relacionadas fueron clasificadas como trabajo de un grupo APT chino, lo que generalmente implica apoyo activo del gobierno.