Durante la reciente conferencia de Virus Bulletin, el equipo de investigación de ESET, líder en detección proactiva de amenazas, presentó un análisis detallado de las herramientas y actividades de un nuevo actor de amenazas de origen chino. Este grupo, denominado CeranaKeeper, se dedica a la exfiltración masiva de datos confidenciales utilizando servicios legítimos como Dropbox, OneDrive y GitHub. Las campañas analizadas por ESET se dirigieron principalmente a instituciones gubernamentales en Tailandia desde 2023, revelando componentes renovados del grupo de amenazas persistentes avanzadas (APT) Mustang Panda, también de origen chino.
CeranaKeeper ha estado activo desde principios de 2022, centrando sus ataques en entidades gubernamentales de países asiáticos como Tailandia, Myanmar, Filipinas, Japón y Taiwán. Este grupo se caracteriza por su obsesiva recolección de datos, desplegando un conjunto de herramientas que extraen la mayor cantidad posible de información de las redes comprometidas.
Puntos clave de la investigación:
ESET descubrió un nuevo actor de amenazas, CeranaKeeper, que tiene como objetivo instituciones gubernamentales en Tailandia. Algunas de sus herramientas fueron previamente atribuidas a Mustang Panda por otros investigadores.
CeranaKeeper abusa de servicios en la nube, como Dropbox y OneDrive, para desplegar backdoors y herramientas personalizadas de exfiltración de datos.
Este grupo actualiza constantemente su backdoor para evadir la detección y diversifica sus métodos de ataque, facilitando la exfiltración masiva de información.
Utilizan funciones de GitHub, como solicitudes de extracción y comentarios de problemas, para crear un shell inverso sigiloso, aprovechando esta popular plataforma de colaboración de código como servidor de comando y control (C&C).
Romain Dumont, investigador de malware de ESET, señala: “CeranaKeeper, el grupo detrás de los ataques al gobierno tailandés, parece implacable. Sus herramientas y técnicas evolucionan rápidamente, reescribiendo su arsenal para evitar ser detectados. El objetivo es recolectar tantos archivos como sea posible, desarrollando componentes específicos para este fin. Abusan de servicios en la nube, ya que el tráfico a estos sitios parece legítimo y es más difícil de bloquear”.
En la operación analizada, CeranaKeeper convirtió las máquinas comprometidas en servidores de actualización y utilizó una técnica innovadora que explotaba las funciones de GitHub para crear un shell inverso sigiloso. Además, desplegaron componentes de recolección de un solo uso para extraer árboles completos de archivos.
ESET también identificó diferencias clave entre CeranaKeeper y Mustang Panda, a pesar de algunas similitudes, como el uso de señuelos políticos y componentes PlugX. Aunque ambos grupos comparten ciertos objetivos y tácticas, sus herramientas, infraestructuras y prácticas operativas difieren, lo que llevó a ESET a rastrearlos como entidades separadas.
Dumont añade: “Aunque CeranaKeeper y Mustang Panda podrían estar compartiendo herramientas y técnicas, probablemente lo hagan por un interés común o a través de un tercero, lo que los convierte en actores de amenazas separados, aunque conectados”.
Publicar un comentario