La empresa de seguridad Proofpoint ha revelado una campaña de ciberespionaje dirigida a expertos en inteligencia artificial (IA) del sector privado, el mundo académico y el gobierno. Esta sofisticada operación, que utiliza un troyano de acceso remoto (RAT) conocido como SugarGh0st, se ha centrado principalmente en especialistas en IA generativa con sede en EE. UU.
La campaña y sus implicaciones
Los hallazgos de Proofpoint se alinean con un Reuters informe del 8 de mayo de 2024, que destacó el aumento de las medidas estadounidenses para restringir el acceso chino a las tecnologías de inteligencia artificial generativa. Esta alineación temporal sugiere que los actores chinos pueden estar recurriendo al espionaje para mejorar sus capacidades de inteligencia artificial. Si bien Proofpoint no ha atribuido definitivamente la actividad a una entidad específica, ha identificado provisionalmente a los agentes detrás de estos ataques como UNK_SweetSpecter.
SugarGh0st es una variante de Gh0stRAT, un troyano utilizado anteriormente por varios grupos chinos. Cisco Talos documentó por primera vez SugarGh0st en noviembre de 2023, tras su despliegue contra entidades gubernamentales en Uzbekistán y Corea del Sur. El código del troyano contiene artefactos en idioma chino y sus metodologías de infección tienen similitudes con incidentes anteriores, lo que respalda la hipótesis de un actor de amenazas que habla mandarín.
Tácticas, técnicas y procedimientos
Los atacantes han utilizado correos electrónicos de phishing como entrada principal método, aprovechando temas relacionados con la IA para atraer a las víctimas. Estos correos electrónicos, enviados desde cuentas gratuitas, incitan a los destinatarios a abrir archivos ZIP adjuntos que contienen archivos.LNK. Estos archivos ejecutan comandos de shell indirectamente, lo que lleva a la implementación de un cuentagotas de JavaScript. El cuentagotas realiza múltiples funciones: mostrar un documento señuelo, usar una herramienta ActiveX para la descarga e implementar un binario cifrado. La biblioteca ActiveX es crucial para ejecutar shellcode, que inicia SugarGh0st RAT a través de una entrada de inicio denominada CTFM0N.exe, incrustando el malware dentro del sistema.
El alcance y el objetivo
El seguimiento que hace Proofpoint del despliegue de SugarGh0st revela un patrón de ataques altamente dirigidos. Las víctimas incluyen un gigante de las telecomunicaciones de EE. UU., una casa de medios internacional, un organismo gubernamental del sur de Asia y aproximadamente diez personas asociadas con una organización estadounidense líder en inteligencia artificial. La especificidad de estos ataques y su enfoque en herramientas de IA indican la intención de los atacantes de adquirir información confidencial y no pública relacionada con la IA generativa.
El informe destaca las amenazas emergentes que enfrenta la comunidad de investigación de IA y sugiere una solución Cambio potencial en las tácticas de ciberespionaje con amplias implicaciones para la competencia tecnológica global. El análisis exhaustivo de Proofpoint incluye indicadores de compromiso, como hashes de archivos, direcciones IP y URL, junto con firmas de detección, lo que proporciona inteligencia esencial para fortalecer las defensas contra esta y otras amenazas cibernéticas similares.
Información adicional
Proofpoint rastrea el clúster responsable de esta actividad como UNK_SweetSpecter. En la campaña de mayo de 2024, UNK_SweetSpecter utilizó una cuenta de correo electrónico gratuita para enviar señuelos con temas de IA, atrayendo a los objetivos a abrir archivos ZIP adjuntos. La cadena de infección imitó un método previamente reportado por Cisco Talos, y los archivos LNK contenían artefactos de metadatos similares y marcas de tiempo falsificadas.
El dropper de JavaScript incluía un documento señuelo, una herramienta ActiveX para descarga y un archivo binario cifrado. todo codificado en base64. La carga útil exhibía protocolos de latidos de registro de teclas, comando y control (C2) y métodos de exfiltración de datos. Las diferencias en la cadena de infección observadas por Proofpoint incluyeron un nombre de clave de registro modificado para lograr persistencia, una cantidad reducida de comandos que la carga útil de SugarGh0st podía ejecutar y un servidor C2 diferente.
