A empresa de segurança A Proofpoint divulgou uma campanha de ciberespionagem dirigida a especialistas em inteligência artificial (IA) do setor privado, da academia e do governo. Esta operação sofisticada, utilizando um trojan de acesso remoto (RAT) conhecido como SugarGh0st, concentrou-se principalmente em especialistas em IA generativa baseados nos EUA.
A campanha e suas implicações
As descobertas da Proofpoint estão alinhadas com uma Reuters relatório de 8 de maio de 2024, que destacou o aumento das medidas dos EUA para restringir o acesso chinês a tecnologias generativas de IA. Este alinhamento temporal sugere que os intervenientes chineses podem estar a recorrer à espionagem para desenvolver as suas capacidades de IA. Embora a Proofpoint não tenha atribuído definitivamente a atividade a uma entidade específica, ela identificou provisoriamente os agentes por trás desses ataques como UNK_SweetSpecter.
SugarGh0st é uma variante do Gh0stRAT, um trojan usado anteriormente por vários grupos chineses. Cisco Talos documentou o SugarGh0st pela primeira vez em novembro de 2023, após sua implantação contra entidades governamentais no Uzbequistão e na Coreia do Sul. O código do trojan contém artefatos em língua chinesa e suas metodologias de infecção apresentam semelhanças com incidentes anteriores, apoiando a hipótese de um agente de ameaça que fala mandarim.
Táticas, técnicas e procedimentos
Os invasores usaram e-mails de phishing como entrada principal método, aproveitando temas relacionados à IA para atrair vítimas. Esses e-mails, enviados de contas gratuitas, estimulam os alvos a abrir arquivos ZIP anexados contendo arquivos.LNK. Esses arquivos executam comandos shell indiretamente, levando à implantação de um conta-gotas JavaScript. O dropper executa múltiplas funções: exibir um documento isca, usar uma ferramenta ActiveX para sideload e implantar um binário criptografado. A biblioteca ActiveX é crucial para a execução do shellcode, que inicia o SugarGh0st RAT por meio de uma entrada de inicialização chamada CTFM0N.exe, incorporando o malware no sistema.
O escopo e o objetivo
O rastreamento da implantação do SugarGh0st pela Proofpoint revela um padrão de ataques altamente direcionados. As vítimas incluem uma gigante das telecomunicações dos EUA, uma empresa de mídia internacional, um órgão governamental do sul da Ásia e aproximadamente dez indivíduos associados a uma importante organização americana de IA. A especificidade desses ataques e seu foco em ferramentas de IA indicam a intenção dos invasores de adquirir informações confidenciais e não públicas relacionadas à IA generativa.
O relatório destaca ameaças emergentes enfrentadas pela comunidade de pesquisa em IA e sugere uma mudança potencial nas táticas de ciberespionagem com amplas implicações para a competição tecnológica global. A análise abrangente da Proofpoint inclui indicadores de comprometimento, como hashes de arquivos, endereços IP e URLs, juntamente com assinaturas de detecção, fornecendo inteligência essencial para fortalecer as defesas contra esta e outras ameaças cibernéticas semelhantes.
Informações adicionais
O Proofpoint rastreia o cluster responsável por esta atividade como UNK_SweetSpecter. Na campanha de maio de 2024, UNK_SweetSpecter usou uma conta de e-mail gratuita para enviar iscas com tema de IA, incentivando os alvos a abrir arquivos ZIP anexados. A cadeia de infecção imitou um método relatado anteriormente pelo Cisco Talos, com os arquivos LNK contendo artefatos de metadados semelhantes e carimbos de data e hora falsificados.
O conta-gotas JavaScript incluía um documento chamariz, uma ferramenta ActiveX para sideload e um binário criptografado, tudo codificado em base64. A carga exibia keylogging, protocolos de pulsação de comando e controle (C2) e métodos de exfiltração de dados. As diferenças na cadeia de infecção observadas pelo Proofpoint incluíam um nome de chave de registro modificado para persistência, um número reduzido de comandos que a carga útil do SugarGh0st poderia executar e um servidor C2 diferente.
