Dans un monde où les menaces de cybersécurité évoluent rapidement, une nouvelle entité de menace surnommée SneakyChef, suspectée de parler chinois, a déjà lancé des campagnes d’espionnage majoritairement contre des organismes gouvernementaux across Asia and EMEA (Europe, Moyen-Orient et Afrique). Découverte en août 2023, cette menace a innové en utilisant le malware SugarGh0st pour infiltrer des objets numériques cruciaux.
Discovery and Expansion of the SugarGh0st Cyber Espionage
Origines et motivations derrière SugarGh0st
Les chercheurs de Cisco Talos, Chetan Raghuprasad et Ashley Shen, ont dévoilé que SugarGh0st serait principalement employé pour cibler des entités gouvernementales stratégiques, utilisant des documents gouvernementaux comme hameçons. Ces documents seraient principalement associés aux ministères des Affaires étrangères et aux ambassades de divers pays, révélant la précision et la portée internationale de l’attaque. Cette révélation initiale a mis en lumière une tentative désespérée de collecter des informations provenant de régions telles que la Corée du Sud et l’Ouzbékistan.
Propagation et techniques d’infection
La menace SneakyChef n’hésite pas à utiliser des stratégies complexes pour déployer SugarGh0st, incluant des fichiers raccourcis Windows (LNK) intégrés dans des archives RAR. Une fois activé, un script Visual Basic (VBS) lance le malware tout en présentant un fichier leurre aux victimes. Les attaques révèlent une adaptation et une personnification du vecteur d’attaque adaptées aux différentes cibles, suggérant une opération bien financée et techniquement sophistiquée.
Introduction de SpiceRAT dans le champ de bataille cybernétique
Approche hybride de SpiceRAT
Au-delà de SugarGh0st, SneakyChef a aussi été récemment associé à un autre Trojan d’accès à distance baptisé SpiceRAT. Les attaques contre l’Angola ont révélé l’utilisation de journaux en langue russe comme appât, indiquant une diversification des techniques d’ingénierie sociale. SpiceRAT utilise des chaînes d’infection variées, comme un fichier LNK trompeur présumant un document PDF qui, une fois ouvert, lance un exécutable malveillant caché dans un dossier invisible.
Mécanismes de chargement et de dissimulation
En parallèle, SpiceRAT manipule des fichiers exécutables légitimes pour charger ses composants malicieux, fait eminent dans l’utilisation stratégique du side-loading de DLL. Ceci convainc le système ciblé de l’authenticité des opérations, permettant à la charge utile du RAT de surveiller les processus et d’échapper à la détection. Les cybercriminels masquent leurs opérations en utilisant des techniques avancées, montrant leur capacité à infiltrer et rester cachés au sein d’infrastructures critiques.
Comprendre et contrer ces menaces complexes fait partie intégrante des solutions de cybersécurité que notre entreprise, CyberCare, propose. Pour mieux protéger votre infrastructure contre des menaces telles que SpiceRAT ou SugarGh0st, faites confiance à nos services experts en détection, réponse et remédiation d’incidents de sécurité.
