Un actor de amenazas previamente indocumentado llamado CeranaKeeper se ha relacionado con una serie de ataques de exfiltración de datos dirigidos al sudeste asiático.
La empresa eslovaca de ciberseguridad ESET, que observó campañas dirigidas a instituciones gubernamentales en Tailandia a partir de 2023, atribuyó el grupo de actividades a estar alineada con China, aprovechando herramientas previamente identificadas como utilizadas por el actor Mustang Panda.
«El grupo actualiza constantemente su puerta trasera para evadir la detección y diversifica sus métodos para facilitar la filtración masiva de datos», explica el investigador de seguridad Romain Dumont. dicho en un análisis publicado hoy.
«CeranaKeeper abusa de servicios populares y legítimos de intercambio de archivos y en la nube, como Dropbox y OneDrive, para implementar puertas traseras y herramientas de extracción personalizadas».
Otros países objetivo del adversario incluyen Myanmar, Filipinas, Japón y Taiwán, todos los cuales han sido objetivos de actores de amenazas patrocinados por el Estado chino en los últimos años.
ESET describió a CeranaKeeper como implacable, creativo y capaz de adaptar rápidamente su modus operandi, al tiempo que lo calificó de agresivo y codicioso por su capacidad para moverse lateralmente a través de entornos comprometidos y absorber tanta información como sea posible a través de varias puertas traseras y herramientas de exfiltración.
«Su uso extensivo de expresiones comodín para escanear, en ocasiones, discos enteros dejó claro que su objetivo era el desvío masivo de datos», dijo la compañía.
Aún se desconocen las rutas de acceso iniciales exactas utilizadas por el actor de amenazas. Sin embargo, se abusa de una presencia inicial exitosa para obtener acceso a otras máquinas en la red local, incluso convirtiendo algunas de las máquinas comprometidas en servidores proxy o servidores de actualización para almacenar actualizaciones para su puerta trasera.
Los ataques se caracterizan por el uso de familias de malware como TONESHELL, TONEINS y PUBLOAD, todos atribuidos al grupo Mustang Panda, al tiempo que utilizan un arsenal de herramientas nunca antes vistas para facilitar la filtración de datos.
«Después de obtener acceso privilegiado, los atacantes instalaron la puerta trasera TONESHELL, implementaron una herramienta para eliminar credenciales y utilizaron un controlador Avast legítimo y una aplicación personalizada para desactivar los productos de seguridad en la máquina», dijo Dumont.
«Desde este servidor comprometido, utilizaron una consola de administración remota para implementar y ejecutar su puerta trasera en otras computadoras de la red. Además, CeranaKeeper usó el servidor comprometido para almacenar actualizaciones de TONESHELL, transformándolo así en un servidor de actualizaciones».
El conjunto de herramientas personalizado recién descubierto es el siguiente:
- WavyExfiller: un descargador de Python que recopila datos, incluidos dispositivos conectados como memorias USB y discos duros, y utiliza Dropbox y PixelDrain como puntos finales de exfiltración.
- DropboxFlop: un DropboxFlop de Python que es una variación de un shell inverso disponible públicamente llamado DropFlop que viene con capacidades de carga y descarga y utiliza Dropbox como servidor de comando y control (C&C)
- BingoShell: una puerta trasera de Python que abusa de la solicitud de extracción de GitHub y emite funciones de comentarios para crear un shell inverso sigiloso.
«Desde una perspectiva de alto nivel, [BingoShell] aprovecha un repositorio privado de GitHub como servidor C&C», explicó ESET. «El script utiliza un token codificado para autenticar y extraer solicitudes y emite capacidades de comentarios para recibir comandos para ejecutar y devolver los resultados».
Destacando la capacidad de CeranaKeeper para escribir y reescribir rápidamente su conjunto de herramientas para evadir la detección, la compañía dijo que el objetivo final del actor de amenazas es desarrollar malware a medida que le permita recopilar información valiosa a gran escala.
«Mustang Panda y CeranaKeeper parecen funcionar de forma independiente y cada uno tiene su propio conjunto de herramientas», afirma. “Ambos actores de amenazas pueden depender del mismo tercero, como un intendente digital, lo cual no es infrecuente entre los grupos alineados con China, o tener algún nivel de intercambio de información, lo que explicaría los vínculos observados.
