Um grupo de hackers chineses conhecido como SneakyChef está conduzindo uma campanha global de espionagem utilizando os malwares SpiceRAT e SugarGh0st. Desde agosto de 2023, suas principais vítimas têm sido entidades governamentais na Ásia, Europa, Oriente Médio e África. A estratégia dos hackers envolve o uso de documentos falsos de agências governamentais como isca para iniciar suas campanhas de phishing. Inicialmente destacada em novembro de 2023 com ataques direcionados à Coreia do Sul e Uzbequistão, a operação SneakyChef utiliza uma variante personalizada do Gh0st RAT, denominada SugarGh0st.
Recentemente, foi revelado que o malware SugarGh0st também está sendo empregado contra organizações nos EUA envolvidas em inteligência artificial. O SugarGh0st é distribuído através de arquivos de atalho do Windows (LNK) incorporados em arquivos RAR; uma vez extraídos, esses arquivos executam scripts maliciosos para infectar o sistema da vítima. Esta técnica foi observada em ataques direcionados a países como Angola, Índia e Letônia, indicando uma expansão significativa do alcance da campanha SneakyChef.
Além do SugarGh0st, o grupo SneakyChef também utiliza o malware SpiceRAT, que utiliza várias cadeias de infecção, incluindo side-loading de DLLs. Em um dos métodos de infecção, um arquivo LNK dentro de um RAR executa comandos maliciosos que levam à instalação do SpiceRAT. Conhecida também como Operação Diplomatic Specter pela Palo Alto Networks, a campanha SneakyChef está ativa desde o final de 2022, mirando entidades governamentais em diversas regiões geográficas.