Investigadores de ESET han descubierto una nueva amenaza alineada con China, denominada CeranaKeeper, que ha estado operando desde al menos principios de 2022 y ha dirigido sus ataques principalmente a instituciones gubernamentales en varios países asiáticos, incluyendo Tailandia, Myanmar y Japón. Este grupo, que se ha observado activo desde 2023, utiliza versiones renovadas de herramientas previamente asociadas con el grupo de amenaza persistente avanzada Mustang Panda, así como un nuevo conjunto de herramientas para atacar entidades gubernamentales de Tailandia.
CeranaKeeper se caracteriza por su uso intensivo de servicios de almacenamiento en la nube y plataformas de intercambio de archivos como Dropbox y OneDrive, empleando estos recursos para ejecutar comandos en computadoras comprometidas y exfiltrar documentos sensibles. Los ataques del grupo han mostrado un enfoque notable en la recolección de datos, utilizando técnicas innovadoras como la creación de un shell inverso encubierto a través de solicitudes de extracción en GitHub, lo que les permite controlar de manera remota las máquinas comprometidas.
Las investigaciones revelan que el grupo aplica una serie de técnicas de evasión para adaptar sus herramientas y evitar la detección. Con un arsenal que incluye el uso de un backdoor conocido como TONESHELL y herramientas personalizadas para la exfiltración de datos, CeranaKeeper parece tener como objetivo primordial la captura de la mayor cantidad de información posible de las redes comprometidas.
ESET planea proporcionar un análisis más detallado sobre estas actividades y las herramientas innovadoras desplegadas por CeranaKeeper en un informe blanco que será publicado en el sitio web de Virus Bulletin. Los hallazgos presentados explican cómo el grupo ha poblado sistemas comprometidos con servidores de actualización y ha diseñado scripts diseñados específicamente para moverse a través de redes locales mientras aprovecha la infraestructura legítima para ejecutar sus operaciones maliciosas.
Aunque algunas de sus actividades han sido en el pasado atribuidas a Mustang Panda, los investigadores de ESET han decidió clasificar a CeranaKeeper como un actor distinto debido a diferencias organizativas y técnicas notables. La capacidad del grupo para adaptarse rápidamente y la diversidad de sus herramientas utilizadas para la exfiltración de datos subraya la creciente sofisticación de estos actores de amenazas y su dedicación hacia objetivos alineados con los intereses del estado chino.
Fuente: WeLiveSecurity by eSet.
