SneakyChef
A Cisco Talos azonosította a SneakyChef kampányát, amely a SugarGh0st kártevőt használja 2023 augusztusa óta. Az újonnan felfedezett kampányban az EMEA (Europe, Middle East, and Africa) és Ázsia országaiban elterjedt célpontok szélesebb körét figyelték meg, szemben a korábbi azonosításokkal, amelyek főként Dél-Koreát és Üzbegisztánt célozták meg.
A SneakyChef olyan csalikat használ, amelyek kormányzati szervek beszkennelt dokumentumai, amelyek többsége a különböző országok külügyminisztériumaihoz vagy nagykövetségeihez kapcsolódnak.
A Talos által novemberben nyilvánosságra hozott két fertőzési lánc mellett felfedeztünk egy további fertőzési láncot, amely SFX RAR fájlokat használ a SugarGh0st terjesztésére.
Az SFX-mintában használt nyelv ebben a kampányban megerősíti korábbi állításunkat, miszerint a szereplő kínai nyelvű.
2023 augusztus elején a Talos felfedezett egy kampányt, amely a SugarGh0st RAT-ot használta üzbegisztáni és dél-koreai felhasználók megcélzására. Továbbra is megfigyeltünk új tevékenységeket, amelyek ugyanazt a kártevőt használták, hogy szélesebb földrajzi területen lévő felhasználókat célozzanak meg.
A Talos a nyelvi preferenciák, a Gh0st RAT – a különböző kínai nyelvű szereplők körében népszerű rosszindulatú kártevő – változatainak használata, valamint a konkrét célpontok – köztük különböző országok külügyminisztériumai és más kormányzati szervek – alapján a SneakyChef üzemeltetői valószínűleg kínai nyelvűek. A Talos felfedezett egy másik, SpiceRAT nevű RAT-ot is, amelyet a kampányban használtak.