{"id":1246882,"date":"2024-06-21T14:45:01","date_gmt":"2024-06-21T14:45:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-implementan-spicerat-y-sugargh0st-en-una-campana-de-espionaje-global\/"},"modified":"2024-06-21T14:45:06","modified_gmt":"2024-06-21T14:45:06","slug":"hackers-chinos-implementan-spicerat-y-sugargh0st-en-una-campana-de-espionaje-global","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-implementan-spicerat-y-sugargh0st-en-una-campana-de-espionaje-global\/","title":{"rendered":"Hackers chinos implementan SpiceRAT y SugarGh0st en una campa\u00f1a de espionaje global"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de junio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Hackers-chinos-implementan-SpiceRAT-y-SugarGh0st-en-una-campana-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas de habla china previamente indocumentado con nombre en c\u00f3digo <strong>Chef furtivo<\/strong> se ha vinculado a una campa\u00f1a de espionaje dirigida principalmente a entidades gubernamentales en Asia y EMEA (Europa, Medio Oriente y \u00c1frica) con malware SugarGh0st desde al menos agosto de 2023.<\/p>\n<p>&#8220;SneakyChef utiliza se\u00f1uelos que son documentos escaneados de agencias gubernamentales, la mayor\u00eda de las cuales est\u00e1n relacionadas con los Ministerios de Asuntos Exteriores o embajadas de varios pa\u00edses&#8221;, afirman los investigadores de Cisco Talos, Chetan Raghuprasad y Ashley Shen. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/sneakychef-sugarghost-rat\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n<p>La empresa de ciberseguridad destac\u00f3 por primera vez las actividades relacionadas con el equipo de pirater\u00eda a finales de noviembre de 2023 en relaci\u00f3n con una campa\u00f1a de ataque que atac\u00f3 a Corea del Sur y Uzbekist\u00e1n con una variante personalizada de Gh0st RAT llamada <b>Az\u00facarGh0st<\/b>.<\/p>\n<p>Un an\u00e1lisis posterior de Proofpoint el mes pasado descubri\u00f3 el uso de SugarGh0st RAT contra organizaciones estadounidenses involucradas en esfuerzos de inteligencia artificial, incluidas aquellas en el mundo acad\u00e9mico, la industria privada y el servicio gubernamental.  Est\u00e1 rastreando el cl\u00faster con el nombre UNK_SweetSpecter.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Talos dijo que desde entonces ha observado que se utiliza el mismo malware para probablemente centrarse en varias entidades gubernamentales en Angola, India, Letonia, Arabia Saudita y Turkmenist\u00e1n bas\u00e1ndose en los documentos se\u00f1uelo utilizados en las campa\u00f1as de phishing, lo que indica una ampliaci\u00f3n del alcance. de los pa\u00edses destinatarios.<\/p>\n<p>Adem\u00e1s de aprovechar las cadenas de ataque que utilizan archivos de acceso directo de Windows (LNK) integrados en archivos RAR para lanzar SugarGh0st, se ha descubierto que la nueva ola emplea un archivo RAR autoextra\u00edble (SFX) como vector de infecci\u00f3n inicial para lanzar un archivo Visual. Basic Script (VBS) que finalmente ejecuta el malware mediante un cargador y al mismo tiempo muestra el archivo se\u00f1uelo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Hackers-chinos-implementan-SpiceRAT-y-SugarGh0st-en-una-campana-de.jpeg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Hackers-chinos-implementan-SpiceRAT-y-SugarGh0st-en-una-campana-de.jpeg\" alt=\"Hackers chinos\" border=\"0\" data-original-height=\"876\" data-original-width=\"1000\" title=\"Hackers chinos\"\/><\/a><\/div>\n<p>Los ataques contra Angola tambi\u00e9n son notables por el hecho de que utiliza un nuevo troyano de acceso remoto con nombre en c\u00f3digo SpiceRAT que utiliza se\u00f1uelos de Neytralny Turkmenistan, un peri\u00f3dico en ruso de Turkmenist\u00e1n.<\/p>\n<p>SpiceRAT, por su parte, emplea dos cadenas de infecci\u00f3n diferentes para la propagaci\u00f3n, una de las cuales utiliza un archivo LNK presente dentro de un archivo RAR que implementa el malware mediante t\u00e9cnicas de carga lateral de DLL.<\/p>\n<p>&#8220;Cuando la v\u00edctima extrae el archivo RAR, coloca el LNK y una carpeta oculta en su m\u00e1quina&#8221;, dicen los investigadores. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/new-spicerat-sneakychef\/\" target=\"_blank\">dicho<\/a>.  &#8220;Despu\u00e9s de que una v\u00edctima abre el archivo de acceso directo, que se hace pasar por un documento PDF, ejecuta un comando incrustado para ejecutar el iniciador malicioso ejecutable desde la carpeta oculta ca\u00edda&#8221;.<\/p>\n<div class=\"dog_two clear in-2\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Luego, el iniciador procede a mostrar el documento se\u00f1uelo a la v\u00edctima y ejecuta un binario leg\u00edtimo (&#8220;dxcap.exe&#8221;), que posteriormente descarga una DLL maliciosa responsable de cargar SpiceRAT.<\/p>\n<p>La segunda variante implica el uso de una aplicaci\u00f3n HTML (HTA) que coloca un script por lotes de Windows y un descargador binario codificado en Base64, y el primero lanza el ejecutable mediante una tarea programada cada cinco minutos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718981101_248_Hackers-chinos-implementan-SpiceRAT-y-SugarGh0st-en-una-campana-de.jpeg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718981101_248_Hackers-chinos-implementan-SpiceRAT-y-SugarGh0st-en-una-campana-de.jpeg\" alt=\"Hackers chinos\" border=\"0\" data-original-height=\"1130\" data-original-width=\"1000\" title=\"Hackers chinos\"\/><\/a><\/div>\n<p>El script por lotes tambi\u00e9n est\u00e1 dise\u00f1ado para ejecutar otro ejecutable leg\u00edtimo, &#8220;ChromeDriver.exe&#8221;, cada 10 minutos, que luego descarga una DLL fraudulenta que, a su vez, carga SpiceRAT.  Cada uno de estos componentes (ChromeDriver.exe, la DLL y la carga \u00fatil RAT) se extraen de un archivo ZIP recuperado por el binario del descargador desde un servidor remoto.<\/p>\n<p>SpiceRAT tambi\u00e9n aprovecha la t\u00e9cnica de carga lateral de DLL para iniciar un cargador de DLL, que captura la lista de procesos en ejecuci\u00f3n para verificar si se est\u00e1 depurando, y luego ejecuta el m\u00f3dulo principal desde la memoria.<\/p>\n<p>&#8220;Con la capacidad de descargar y ejecutar binarios ejecutables y comandos arbitrarios, SpiceRAT aumenta significativamente la superficie de ataque en la red de la v\u00edctima, allanando el camino para futuros ataques&#8221;, dijo Talos.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/chinese-hackers-deploy-spicerat-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de junio de 2024\ue804Sala de redacci\u00f3nInteligencia de amenazas\/malware Un actor de amenazas de habla china previamente indocumentado<\/p>\n","protected":false},"author":1,"featured_media":1246883,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,3372,4289,4664,10315,4662,1982,6369,64188,4668,201033,4654,201031,4659,4653,4655,4666,4665,201032,238362,218967,158,4660],"class_list":["post-1246882","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-campana","tag-chinos","tag-como-hackear","tag-espionaje","tag-filtracion-de-datos","tag-global","tag-hackers","tag-implementan","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-spicerat","tag-sugargh0st","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1246882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1246882"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1246882\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1246883"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1246882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1246882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1246882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}