CeranaKeeper: cómo los cibertiburones chinos están devastando las redes del Sudeste Asiático

Un nuevo grupo de hackers CeranaKeeper, vinculado a China y dirigido a robar datos en el sudeste asiático, ha sido detectado por investigadores de la empresa ESET. La primera actividad del grupo se observó ya en 2023, y sus víctimas fueron instituciones gubernamentales de Tailandia. Las actividades de CeranaKeeper también se han detectado en otros países de la región, incluidos Myanmar, Filipinas, Japón y Taiwán.

El grupo utiliza una variedad de métodos y herramientas para recopilar datos, entre ellos el uso indebido de servicios legítimos de almacenamiento en la nube y compartición de archivos, como Dropbox y OneDrive. Según Romain Dumont, investigador de seguridad de ESET, este grupo actualiza constantemente su conjunto de herramientas para evadir los sistemas de seguridad y recopilar datos a gran escala.

En los ataques de CeranaKeeper se emplean puertas traseras (backdoors) y herramientas de exfiltración que permiten acceder rápidamente a diferentes sistemas y recopilar grandes volúmenes de información. Según los expertos, el enfoque agresivo del grupo se refleja en su capacidad para propagarse rápidamente a través de sistemas infectados y adaptar sus métodos con agilidad.

Aunque los métodos iniciales de penetración de CeranaKeeper en los sistemas siguen siendo desconocidos, los atacantes utilizan el acceso ya obtenido para infiltrarse en otras máquinas de la red local. Algunos de los equipos infectados se convierten en servidores proxy o servidores de actualización para las puertas traseras.

En los ataques de CeranaKeeper se utilizan programas maliciosos como TONESHELL, TONEINS y PUBLOAD, los cuales también están vinculados al grupo de hackers Mustang Panda. Además, CeranaKeeper emplea una serie de nuevas herramientas para la recopilación de datos:

• WavyExfiller: una herramienta de Python para la descarga de datos, incluidos dispositivos conectados como USB y discos duros, con exfiltración a través de Dropbox y PixelDrain.
• DropboxFlop: un script de Python que es una modificación del shell inverso DropFlop, utilizando Dropbox como servidor de comando y control.
• OneDoor: una puerta trasera en C++ que utiliza la API de Microsoft OneDrive para ejecutar comandos y exfiltrar archivos.
• BingoShell: una puerta trasera de Python que utiliza las capacidades de un repositorio privado en GitHub para crear un shell inverso oculto.

ESET también destaca que el grupo CeranaKeeper es capaz de reescribir y adaptar rápidamente sus herramientas para evadir los sistemas de protección. El objetivo principal de estos cibercriminales es desarrollar software malicioso único para la recopilación masiva de información confidencial.

Según el análisis de ESET, aunque CeranaKeeper y Mustang Panda pueden actuar de forma independiente, es probable que tengan algún nivel de intercambio de información o dependan de recursos comunes de terceros, lo cual es característico de los grupos cibernéticos vinculados a China.