Se ha descubierto que un grupo de amenazas alineado con China recientemente identificado llamado CeranaKeeper apunta a instituciones gubernamentales en Tailandia. Este grupo, descubierto por investigadores de ESET y activo desde principios de 2022, aprovecha un conjunto de herramientas en evolución para filtrar datos confidenciales abusando de servicios legítimos en la nube como Dropbox, OneDrive y GitHub. Si bien algunas de las herramientas de CeranaKeeper se atribuían anteriormente al grupo Mustang Panda, el nuevo análisis de ESET reveló diferencias técnicas, lo que sugiere que se trata de entidades distintas. «Sin embargo, ambos grupos alineados con China podrían estar compartiendo información y un subconjunto de herramientas en un interés común o a través del mismo tercero», añadió la empresa. Técnicas innovadoras para la filtración de datos CeranaKeeper se destaca por su uso innovador de servicios populares para el robo de datos. El grupo ha desarrollado e implementado puertas traseras personalizadas y herramientas de filtración de datos, incluido malware basado en Python y C++. Los componentes notables incluyen WavyExfiller, una herramienta basada en Python que carga documentos confidenciales en Dropbox, y OneDoor, un malware C++ que abusa de OneDrive tanto para recibir comandos como para extraer archivos. Otra herramienta, BingoShell, utiliza la función de solicitud de extracción de GitHub para crear un canal sigiloso de comando y control (C2). Los hallazgos clave del informe de ESET incluyen: La actualización persistente de CeranaKeeper de sus puertas traseras para evadir la detección. Uso de servicios legítimos en la nube para la filtración masiva de datos. Implementación de una amplia variedad de malware personalizado en máquinas comprometidas. Estas herramientas permiten a CeranaKeeper recolectar grandes cantidades de datos mientras permanece bajo el control. Radar. Las operaciones del grupo se dirigen no sólo a entidades gubernamentales en Tailandia sino también a otros países de Asia, incluidos Myanmar, Japón y Taiwán. «El objetivo de este grupo es recolectar tantos archivos como sea posible y desarrolla componentes específicos para ese fin», escribió ESET. Lea más sobre el cibercrimen en el Sudeste Asiático: Nuevo malware bancario apunta a clientes en el Sudeste Asiático Además, los investigadores creen que la dependencia de CeranaKeeper de los servicios en la nube hace que sus operaciones sean difíciles de detectar. “[The group] utiliza servicios de nube y de intercambio de archivos para la exfiltración y probablemente se basa en el hecho de que el tráfico a estos servicios populares parecería en su mayoría legítimo y sería más difícil de bloquear cuando se identifique”, dijo ESET. «La campaña dirigida que investigamos nos brindó información sobre las operaciones de CeranaKeeper, y las campañas futuras probablemente revelarán más a medida que continúe la búsqueda de datos confidenciales por parte del grupo».