Un actor de amenazas previamente indocumentado llamado CeranaKeeper se ha relacionado con una serie de ataques de exfiltración de datos dirigidos al sudeste asiático.
La empresa eslovaca de ciberseguridad ESET, que observó campañas dirigidas a instituciones gubernamentales en Tailandia a partir de 2023, atribuyó el grupo de actividades a estar alineado con China, aprovechando herramientas previamente identificadas como utilizadas por el actor Mustang Panda.
«El grupo actualiza constantemente su puerta trasera para evadir la detección y diversifica sus métodos para ayudar a la filtración masiva de datos», afirma el investigador de seguridad Romain Dumont. dicho en un análisis publicado hoy.
«CeranaKeeper abusa de servicios populares y legítimos de intercambio de archivos y en la nube, como Dropbox y OneDrive, para implementar puertas traseras personalizadas y herramientas de extracción».
Algunos de los otros países objetivo del adversario incluyen Myanmar, Filipinas, Japón y Taiwán, todos los cuales han sido objetivo de actores de amenazas patrocinados por el Estado chino en los últimos años.
ESET describió a CeranaKeeper como implacable, creativo y capaz de adaptar rápidamente su modus operandi, al mismo tiempo que lo llamó agresivo y codicioso por su capacidad para moverse lateralmente a través de entornos comprometidos y aspirar tanta información como sea posible a través de varias puertas traseras y herramientas de exfiltración.
«Su uso extensivo de expresiones comodín para atravesar, a veces, unidades enteras mostró claramente que su objetivo era el desvío masivo de datos», dijo la compañía.
Aún se desconocen las rutas de acceso iniciales exactas empleadas por el actor de amenazas. Sin embargo, se abusa de un punto de apoyo inicial exitoso para obtener acceso a otras máquinas en la red local, incluso convirtiendo algunas de las máquinas comprometidas en servidores proxy o servidores de actualización para almacenar actualizaciones para su puerta trasera.
Los ataques se caracterizan por el uso de familias de malware como TONESHELL, TONEINS y PUBLOAD, todos atribuidos al grupo Mustang Panda, y al mismo tiempo hacen uso de un arsenal de herramientas nunca antes vistas para ayudar a la filtración de datos.
«Después de obtener acceso privilegiado, los atacantes instalaron la puerta trasera TONESHELL, implementaron una herramienta para deshacerse de las credenciales y utilizaron un controlador Avast legítimo y una aplicación personalizada para desactivar los productos de seguridad en la máquina», dijo Dumont.
«Desde este servidor comprometido, utilizaron una consola de administración remota para implementar y ejecutar su puerta trasera en otras computadoras de la red. Además, CeranaKeeper usó el servidor comprometido para almacenar actualizaciones para TONESHELL, convirtiéndolo en un servidor de actualizaciones».
El conjunto de herramientas personalizado recientemente descubierto es el siguiente:
- WavyExfiller: un cargador de Python que recopila datos, incluidos dispositivos conectados como USB y discos duros, y utiliza Dropbox y PixelDrain como puntos finales de exfiltración.
- DropboxFlop: un DropboxFlop de Python que es una variante de un shell inverso disponible públicamente llamado DropFlop que viene con funciones de carga y descarga y utiliza Dropbox como servidor de comando y control (C&C)
- BingoShell: una puerta trasera de Python que abusa de la solicitud de extracción de GitHub y emite funciones de comentarios para crear un shell inverso sigiloso.
«Desde un punto de vista de alto nivel, [BingoShell] aprovecha un repositorio privado de GitHub como servidor C&C», explicó ESET. «El script utiliza un token codificado para autenticar y las solicitudes de extracción y emite comentarios para recibir comandos para ejecutar y enviar los resultados».
Destacando la capacidad de CeranaKeeper para escribir y reescribir rápidamente su conjunto de herramientas según sea necesario para evadir la detección, la compañía dijo que el objetivo final del actor de amenazas es desarrollar malware a medida que le permita recopilar información valiosa a gran escala.
«Mustang Panda y CeranaKeeper parecen operar independientemente uno del otro, y cada uno tiene su propio conjunto de herramientas», dijo. «Ambos actores de amenazas pueden depender del mismo tercero, como un intendente digital, lo cual no es raro entre los grupos alineados con China, o tener algún nivel de intercambio de información, lo que explicaría los vínculos que se han observado».