Un gruppo di cybercriminali, noto come “SneakyChef”, ha colpito numerose agenzie governative in Africa, Medio Oriente, Europa e Asia.
Un gruppo di cybercriminali di lingua cinese, denominato “SneakyChef”, ha preso di mira i ministeri degli affari esteri e le ambasciate di almeno nove paesi in Africa, Medio Oriente, Europa e Asia. I ricercatori di Cisco Talos hanno rivelato queste operazioni venerdì, evidenziando come gli hacker, forse legati a Pechino, continuino a evolvere le loro attività di spionaggio per raccogliere informazioni su vari hotspot geopolitici.
Utilizzando documenti governativi scansionati come esca, il gruppo “SneakyChef” ha mirato a colpire agenzie governative in Angola, Turkmenistan, Kazakhstan, India, Arabia Saudita, Corea del Sud, Uzbekistan, Stati Uniti e Lettonia. Questa strategia ha permesso loro di ottenere informazioni riservate che non erano disponibili su internet, aumentando l’efficacia delle loro attività di spionaggio.
SneakyChef utilizza uno strumento di accesso remoto (RAT) denominato “SugarGh0st”, una versione personalizzata del Gh0st RAT, un noto strumento di esfiltrazione dati utilizzato da vari gruppi sin dal 2008. Questo strumento è stato reso pubblico per la prima volta da Talos a novembre e utilizzato in diverse campagne di hacking allineate alla Cina.
Il rapporto di Talos include anche un’analisi dettagliata di un nuovo trojan di accesso remoto chiamato “SpiceRAT”, diffuso ai bersagli di SneakyChef attraverso lo stesso indirizzo email. Questi risultati sottolineano uno sforzo “aggressivo” da parte degli hacker per sviluppare malware sempre più sofisticati contro obiettivi strategici a livello geopolitico. Secondo Vitor Ventura, capo ricercatore di sicurezza presso Talos, in un breve lasso di tempo, SneakyChef ha dimostrato una quantità considerevole di attività, sviluppando anche un altro malware. Questa rapida evoluzione e l’aggressività del gruppo denotano un’ampia capacità operativa.
Finora, le attività di SneakyChef sono monitorate come una campagna o unità distinta, senza prove sufficienti a collegarle direttamente a nessuna agenzia governativa o appaltatore noto. Un rapporto di maggio da Palo Alto Networks Unit 42 ha classificato alcune attività correlate come opera di un gruppo avanzato di minacce persistenti (APT) cinese, solitamente sponsorizzato dallo stato e operante a un livello elevato.
Nel maggio dello stesso anno, i ricercatori di Proofpoint hanno identificato l’uso di SugarGh0st in campagne volte a colpire organizzazioni statunitensi coinvolte in progetti di intelligenza artificiale, tra cui istituzioni accademiche, industria privata e servizi governativi. In un caso specifico, gli hacker hanno utilizzato vari documenti non pubblicati indiani per bersagliare il Ministero degli Affari Esteri dell’India. Tra i documenti-trappola c’era un file Microsoft Word contenente esche relative alle relazioni India-USA, compresi eventi che coinvolgono il primo ministro indiano e il presidente Joe Biden fino a settembre 2023.
Il livello di sofisticazione e rapidità della crescita di tali gruppi di hacker mette in evidenza la necessità di una cyber security robusta e adattabile per le agenzie governative in tutto il mondo.