La empresa de seguridad, Proofpoint, ha identificado una campaña de SugarGh0st RAT dirigida a organizaciones que tienen iniciativas relacionadas con la inteligencia artificial (IA), ya sean empresas privadas o instituciones públicas.
SugarGh0st RAT es una variante del conocido troyano de acceso remoto Gh0stRAT, que suele utilizarse para atacar a usuarios en Asia central y oriental, aunque en esta última actividad se han observado también objetivos estadounidenses. En esta campaña recientemente detectada, UNK_SweetSpecter (como denomina por ahora Proofpoint al clúster responsable) empleó una cuenta de email gratuita para enviar un mensaje con el tema de la IA como señuelo para incitar a abrir un archivo zip adjunto. Si la persona abría el archivo malicioso descargado, se iniciaba una serie de pasos para instalar diferentes programas y archivos que llevaban finalmente a la payload.
Desde que SugarGh0st RAT fuese reportado originalmente en noviembre de 2023, Proofpoint ha observado muy pocas campañas que lo utilicen. Aunque no usan malware ni cadenas de ataque técnicamente sofisticados, sí que destacan por ser extremadamente selectivos. Por ejemplo, esta última campaña en mayo de 2024 parecía estar dirigida a menos de diez usuarios, los cuales estaban relacionados con la misma empresa líder de IA con sede en Estados Unidos. Cabe destacar que casi todas las direcciones de correo electrónico de los destinatarios parecían ser públicas.
Desconocimiento y dudas
“Las investigaciones realizadas hasta la fecha indican que SugarGh0st RAT ha sido utilizado por operadores en idioma chino, pero todavía no podemos atribuir las campañas a un grupo de ciberdelincuentes concreto”, explican desde el equipo de investigación de Proofpoint. “De igual manera, tampoco podemos saber cuál es realmente su objetivo, aunque el hacer referencia a herramientas de IA y su interés en estar en contacto con expertos de ese ámbito nos hace pensar que quieren obtener información no pública sobre IA generativa”.
Esta reciente campaña coincide con la publicación de un informe de Reuters el 8 de mayo de 2024, en el que se revelaba que el gobierno estadounidense estaba redoblando sus esfuerzos para limitar el acceso de China a la IA generativa. Es posible que, si se restringe el acceso de las entidades chinas a las tecnologías para desarrollo de la IA, los ciberdelincuentes alineados con China puedan atacar a quienes tengan a esa información para apoyar los objetivos de su país.
Para los expertos en seguridad de empresas puede ser complicado hacer frente a la avalancha constante de nuevas vulnerabilidades y amenazas. Esta campaña es un ejemplo de cómo los ciberdelincuentes pueden depender de herramientas básicas para su acceso inicial incluso en las campañas más selectivas. Por este motivo, es recomendable establecer una base para identificar la actividad maliciosa, incluso si la amenaza no es conocida todavía para la organización.
