Categories: Seguridad

Descubren un nuevo actor de amenazas para Dropbox, OneDrive y GitHub

Durante la reciente conferencia de Virus Bulletin, el equipo de investigación de ESET presentó su análisis a varias campañas dirigidas a instituciones gubernamentales en Tailandia, a partir de 2023. La investigación reveló que estos ataques utilizaban componentes renovados del grupo de amenazas persistentes avanzadas (APT) Mustang Panda, de origen chino, e identificó un nuevo actor de amenazas, al que ESET denominó CeranaKeeper, que abusa de proveedores de servicios como Pastebin, Dropbox, OneDrive y GitHub para ejecutar comandos en equipos comprometidos y filtrar documentos confidenciales.

CeranaKeeper ha estado activo al menos desde principios de 2022, dirigiéndose principalmente a entidades gubernamentales de países asiáticos como Tailandia, Myanmar, Filipinas, Japón y Taiwán. Se destaca la incesante caza de datos del grupo, cuyos atacantes despliegan una amplia gama de herramientas destinadas a extraer la mayor cantidad de información posible de las redes comprometidas.

Puntos clave de esta investigación son:

  • El equipo de investigación de ESET descubrió un nuevo actor de amenazas de origen chino, CeranaKeeper, dirigido a instituciones gubernamentales en Tailandia. Algunas de sus herramientas fueron atribuidas previamente a Mustang Panda por otros investigadores.

  • CeranaKeeper abusa de servicios en la nube y de intercambio de archivos populares y legítimos, como Dropbox y OneDrive, para implementar backdoors y herramientas de extracción personalizadas.

  • El grupo actualiza constantemente su backdoor para evadir la detección y diversifica sus métodos para ayudar a la exfiltración masiva de datos.

  • El grupo utiliza las funciones de solicitud de extracción y comentario de problemas de GitHub para crear un shell inverso sigiloso, aprovechando GitHub, una popular plataforma en línea para compartir y colaborar en código, como servidor de C&C.

“CeranaKeeper, el actor de la amenaza que está detrás de los ataques al gobierno tailandés, parece especialmente implacable, ya que la plétora de herramientas y técnicas que utiliza el grupo sigue evolucionando a gran velocidad. Los operadores escriben y reescriben su conjunto de herramientas según las necesidades de sus operaciones y reaccionan con bastante rapidez para seguir evitando ser detectados. El objetivo de este grupo es cosechar tantos archivos como sea posible y para ello desarrolla componentes específicos. CeranaKeeper utiliza la nube y servicios de intercambio de archivos para la exfiltración y probablemente se basa en el hecho de que el tráfico a estos servicios populares en su mayoría parecería legítimo y sería más difícil de bloquear cuando se identifica”, comenta Romain Dumont, Malware Researcher de ESET.

En la operación analizada por ESET, el grupo convirtió las máquinas comprometidas en servidores de actualización, ideó una novedosa técnica que utilizaba las funciones de solicitud de extracción y comentario de incidencias de GitHub para crear un shell inverso sigiloso, y desplegó componentes de recolección de un solo uso al recopilar árboles de archivos enteros.

Desde ESET consideran que el uso de señuelos políticos y componentes PlugX es obra de MustangPanda. A pesar de algunas similitudes en sus actividades (objetivos de carga lateral similares, formato de archivo), observaron diferencias organizativas y técnicas entre los dos grupos, como diferencias en sus conjuntos de herramientas, infraestructura, prácticas operativas y campañas. También identificaron diferencias en la forma en que ambos grupos llevan a cabo tareas similares

“A lo largo de la investigación, ESET estableció fuertes conexiones entre los conjuntos de herramientas previamente documentados y los nuevos y un actor de amenazas común. La revisión de las tácticas, técnicas y procedimientos (TTP), el código y las discrepancias de infraestructura llevaron a creer que era necesario rastrear CeranaKeeper y MustangPanda como dos entidades separadas. Sin embargo, ambos grupos de origen chino podrían estar compartiendo información y un subconjunto de herramientas por un interés común o a través del mismo tercero”, agrega Dumont, de ESET.

Julián Torrado

Recent Posts

Pure Storage y Kioxia colaboran para impulsar la escalabilidad, la eficiencia y el rendimiento en los centros de datos de hiperescala

Este acuerdo permite una escala rápida al tiempo que reduce el consumo de energía y…

2 días ago

MEXDC y el Senado de la República dialogan sobre la relevancia de los Data Centers

Las líneas de diálogo entre gobierno, industria y academia se centraron en Inversión Tecnológica en…

2 días ago

Xerox propone sistemas de automatización que optimicen las operaciones de las empresas

Por Rafael Hirata, Jefe de Innovación y Desarrollo de Negocios Digitales, responsable de Servicios de…

2 días ago

Appian, elegida líder en Everest Group’s Process Orchestration Products PEAK Matrix 2024

Según Everest Group: “Appian tiene como objetivo ofrecer automatización y orquestación integral de procesos a…

3 días ago

Las nuevas tecnologías y su impacto en el crecimiento empresarial para 2025

Por Uriel Fraire, Regional Sales Manager Mexico de Universal Robots.

3 días ago