Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha identificado una campaña de SugarGh0st RAT dirigida a organizaciones que tienen iniciativas relacionadas con la inteligencia artificial (IA), ya sean empresas privadas o instituciones públicas.
SugarGh0st RAT es una variante del conocido troyano de acceso remoto Gh0stRAT que suele utilizarse para atacar a usuarios en Asia central y oriental, aunque en esta última actividad se han observado también objetivos estadounidenses. En esta campaña recientemente detectada, UNK_SweetSpecter (como denomina por ahora Proofpoint al clúster responsable) empleó una cuenta de email gratuita para enviar un mensaje con el tema de la IA como señuelo para incitar a abrir un archivo zip adjunto. Si la persona abría el archivo malicioso descargado, se iniciaba una serie de pasos para instalar diferentes programas y archivos que llevaban finalmente a la payload.
Desde que SugarGh0st RAT fuese reportado originalmente en noviembre de 2023, Proofpoint ha observado muy pocas campañas que lo utilicen. Aunque no usan malware ni cadenas de ataque técnicamente sofisticados, sí que destacan por ser extremadamente selectivos. Por ejemplo, esta última campaña en mayo de 2024 parecía estar dirigida a menos de diez usuarios, los cuales estaban relacionados con la misma empresa líder de IA con sede en Estados Unidos. Cabe destacar que casi todas las direcciones de correo electrónico de los destinatarios parecían ser públicas.




