Esta última campaña en mayo de 2024 se dirigió a menos de diez usuarios, todos relacionados con una empresa líder en IA con sede en Estados Unidos.
Proofpoint ha identificado una campaña del troyano de acceso remoto SugarGh0st RAT dirigida a organizaciones involucradas en iniciativas relacionadas con la inteligencia artificial (IA), tanto del sector privado como del público.
Los operadores han utilizado tradicionalmente SugarGh0st RAT, una variante del conocido troyano Gh0stRAT, para atacar a usuarios en Asia central y oriental. Sin embargo, en esta última campaña, se observaron también objetivos en Estados Unidos.
En este sentido, UNK_SweetSpecter (como Proofpoint denomina al clúster responsable) empleó una cuenta de email gratuita para enviar mensajes con el tema de la IA como señuelo, incitando a los destinatarios a abrir un archivo zip adjunto. Al abrir el archivo malicioso, se desencadenaba una serie de pasos que instalaban varios programas y archivos, culminando en la descarga del payload.
Desde el equipo de investigación de Proofpoint han explicado que “Las investigaciones realizadas hasta la fecha indican que SugarGh0st RAT ha sido utilizado por operadores en idioma chino, pero todavía no podemos atribuir las campañas a un grupo de ciberdelincuentes concreto. De igual manera, tampoco podemos saber cuál es realmente su objetivo, aunque el hacer referencia a herramientas de IA y su interés en estar en contacto con expertos de ese ámbito nos hace pensar que quieren obtener información no pública sobre IA generativa”.
Campañas selectivas contra líderes en IA
Desde que se reportó por primera vez en noviembre de 2023, los operadores utilizaron SugarGh0st RAT en muy pocas campañas. Aunque no emplean malware ni cadenas de ataque técnicamente sofisticadas, destacan por ser extremadamente selectivos. Por ejemplo, esta última campaña en mayo de 2024 se dirigió a menos de diez usuarios, todos relacionados con una empresa líder en IA con sede en Estados Unidos. Cabe destacar que casi todas las direcciones de correo electrónico de los destinatarios eran públicas.
Esta reciente campaña coincidió con la publicación de un informe de Reuters el 8 de mayo de 2024, que reveló los esfuerzos del gobierno estadounidense para limitar el acceso de China a la IA generativa. De esta manera, el informe de Proofpoint ha señalado que es posible que, si se restringe el acceso de las entidades chinas a las tecnologías de desarrollo de la IA, los ciberdelincuentes alineados con China ataquen a quienes posean dicha información para apoyar los objetivos de su país.
Para los expertos en seguridad de empresas, resulta complicado enfrentar la avalancha constante de nuevas vulnerabilidades y amenazas. Esta campaña ejemplifica cómo los ciberdelincuentes pueden depender de herramientas básicas para su acceso inicial, incluso en las campañas más selectivas. Por este motivo, es recomendable establecer una base para identificar la actividad maliciosa, incluso si la amenaza no es conocida todavía por la organización.
