Un actor de amenazas emergente alineado con China llamado CeranaKeeper ha orquestado un esfuerzo masivo de exfiltración de datos en todo el Sudeste Asiático, y más recientemente lanzó una avalancha de ciberataques contra instituciones gubernamentales tailandesas.
El grupo trabaja desde principios de 2022, según investigadores de ESET. El análisis mostró que CeranaKeeper utilizó componentes comunes con el Mustang Panda, grupo APT apoyado por Chinaademás de nuevas herramientas para socavar los servicios legítimos de intercambio de archivos, incluidos Pastebin, Dropbox, OneDrive y GitHub.
«Con base en nuestros hallazgos, decidimos rastrear este grupo de actividades como el trabajo de un actor de amenazas separado», afirma un nuevo informe de ESET. «Las muchas ocurrencias de la cadena [Bb]ectrl en el código de herramientas del grupo nos inspiró a llamarlo CeranaKeeper; es un juego de palabras entre las palabras apicultor y la especie de abeja Apis Cerana, o abeja asiática.
CeranaKeeper irrumpió en los sistemas del gobierno tailandés mediante un ataque de fuerza bruta al servidor de control de dominio de una red local a mediados de 2023, dijo ESET. A partir de ahí, el grupo pudo obtener acceso privilegiado, implementar la puerta trasera Toneshell y una herramienta de volcado de credenciales, y también abusar de un controlador Avast legítimo para desactivar las protecciones de seguridad.
Una vez cómodamente instalado en la red, el grupo lanzó un esfuerzo masivo de recopilación de datos, observó ESET.
El grupo es “implacable”, evoluciona rápidamente y es ágil, ESET advirtió.
«Los operadores escriben y reescriben su conjunto de herramientas en función de las necesidades de sus operaciones y responden con la suficiente rapidez para seguir evitando la detección», añadió ESET. “El objetivo de este grupo es recopilar la mayor cantidad de archivos posible y está desarrollando componentes específicos para este fin”.
El gobierno chino utiliza grupos APT como panda mustang y CeranaKeeper para apoyar las actividades gubernamentales en todo espionaje y otros delitos cibernéticos.
