En el mundo de la ciberseguridad, la aparición de nuevos actores de amenazas suscita una gran preocupación entre expertos y organizaciones.
Recientemente, un grupo denominado CeranaKeeper ha emergido como un jugador destacado en este panorama, empleando tácticas sofisticadas para la exfiltración masiva de datos a través de plataformas de almacenamiento y colaboración en línea, como Dropbox, OneDrive y GitHub.
La investigación realizada por ESET Research ha iluminado sus operaciones y herramientas, revelando estrategias inquietantes que han centrado su atención, especialmente, en instituciones gubernamentales en Tailandia.
CeranaKeeper ha estado activo al menos desde principios de 2022, y su enfoque ha sido notablemente selectivo, dirigiéndose casi exclusivamente a entidades gubernamentales en varios países asiáticos, entre ellos Tailandia, Myanmar, Filipinas, Japón y Taiwán.
Los investigadores han llegado a la conclusión de que este grupo podría estar alineado con los intereses de China, dado que algunas de sus herramientas y técnicas comparten similitudes con las utilizadas por grupos de amenazas persistentes avanzadas (APT) previamente identificados, como Mustang Panda.
El nombre "CeranaKeeper" surge de una curiosa conexión entre la apicultura y la especie de abeja Apis Cerana, nativa de Asia. Este juego de palabras no solo resalta el enfoque del grupo en la recopilación de datos, sino que también refleja su astucia y adaptabilidad en el cambiante panorama de la ciberamenaza.
Al igual que los apicultores que cuidan sus colmenas, CeranaKeeper se ha mostrado meticuloso en su abordaje, buscando recopilar información valiosa de sus objetivos.
Uno de los rasgos más distintivos de CeranaKeeper es su capacidad para actualizar constantemente sus herramientas y tácticas, eludiendo así la detección por parte de las defensas cibernéticas. Este grupo ha desarrollado una serie de técnicas que incluyen el uso de servicios en la nube y plataformas de intercambio de archivos, lo que les permite ocultar su actividad maliciosa detrás de un velo de tráfico legítimo. Entre las herramientas más notables empleadas por CeranaKeeper se encuentran:
1. WavyExfiller: Este uploader de Python ha sido diseñado para aprovechar Dropbox y PixelDrain en el proceso de exfiltración de datos. Utiliza un enfoque ingenioso que busca y comprime documentos listos para ser transferidos, facilitando así el robo de información sensible.
2. DropboxFlop: Este backdoor se basa en Dropbox como un canal para ejecutar comandos en máquinas comprometidas. Se mantiene conectado a su servidor de control mediante un mecanismo de "latido", que le permite enviar y recibir instrucciones de forma encubierta.
3. OneDoor: Este backdoor, que utiliza OneDrive, funciona de manera similar a DropboxFlop, permitiendo a los atacantes recibir comandos y exfiltrar información sin levantar sospechas. Al emplear la API REST de OneDrive, este malware puede interactuar de manera fluida con el servicio de almacenamiento en la nube.
4. BingoShell: Este innovador backdoor utiliza GitHub como un servidor de comando y control. Mediante el uso de comentarios en solicitudes de extracción, los atacantes pueden enviar y recibir instrucciones de manera discreta, lo que demuestra la creciente sofisticación de sus técnicas.
Estas herramientas no solo facilitan la exfiltración de documentos, sino que también establecen múltiples puntos de entrada en las redes comprometidas, lo que permite a CeranaKeeper maximizar su acceso a información valiosa.
La complejidad y sofisticación de CeranaKeeper son alarmantes y representan una amenaza significativa para la seguridad de los datos en el ámbito gubernamental y más allá.
Este grupo ha demostrado un enfoque metódico para convertir las máquinas comprometidas en servidores de actualización, lo que les permite propagar su malware a través de la red de forma eficiente. En sus operaciones, CeranaKeeper ha mostrado una notable capacidad para adaptarse a las defensas cibernéticas, implementando nuevas técnicas que dificultan la detección.
Durante una de las campañas analizadas, CeranaKeeper se infiltró en la red de una institución gubernamental tailandesa mediante ataques de fuerza bruta, lo que les permitió obtener acceso privilegiado. Una vez dentro, los atacantes instalaron su backdoor en múltiples máquinas y comenzaron a recolectar información sensible, transformando los dispositivos en nodos de un ataque coordinado.
Este enfoque metódico y sistemático para la exfiltración de datos resalta la urgencia con la que las organizaciones deben abordar su seguridad cibernética.
Una de las características más preocupantes de CeranaKeeper es su capacidad de adaptarse rápidamente a las circunstancias cambiantes. La investigación ha revelado que el grupo no solo recicla herramientas existentes, sino que también desarrolla nuevas capacidades según las necesidades de sus operaciones.
Esta flexibilidad les permite mantenerse un paso por delante de los esfuerzos de detección y respuesta por parte de las organizaciones afectadas.
CeranaKeeper ha demostrado una notable creatividad en sus ataques. Por ejemplo, al convertir máquinas comprometidas en servidores de actualización, los atacantes pueden desplegar nuevas versiones de su malware con facilidad. Además, han ideado técnicas que utilizan funciones de plataformas como GitHub para crear un shell inverso sigiloso, lo que les proporciona una ventaja adicional al operar de manera encubierta.
La amenaza representada por CeranaKeeper subraya la creciente complejidad del panorama de ciberseguridad actual. La intersección entre plataformas legítimas de intercambio de información y actividades maliciosas crea un entorno complicado para la detección y prevención de ciberataques.
En este sentido, las organizaciones adopten un enfoque proactivo hacia la seguridad cibernética.
Las empresas y entidades gubernamentales deben implementar medidas de seguridad robustas que incluyan la monitorización continua de sus redes, la detección temprana de actividades sospechosas y la educación de su personal sobre las mejores prácticas de ciberseguridad.
Además, es fundamental que las organizaciones estén al tanto de las últimas amenazas y tendencias en el ámbito de la ciberseguridad, lo que les permitirá anticiparse a futuros ataques y mitigar los riesgos asociados a la exfiltración de datos.
La investigación de ESET sobre CeranaKeeper proporciona no solo una visión clara de sus tácticas y herramientas, sino que también destaca la necesidad de una vigilancia constante y una rápida adaptación a las nuevas amenazas. A medida que el grupo continúa desarrollando y refinando sus capacidades, es probable que surjan nuevos desafíos en el futuro.
Finalmente, para aquellos interesados en un análisis más detallado de las operaciones de CeranaKeeper y sus herramientas, ESET ha publicado un informe completo que profundiza en estos hallazgos. Este informe es un recurso valioso para la comunidad de ciberseguridad y un recordatorio de la importancia de mantenerse alerta en un panorama de amenazas que sigue evolucionando a gran velocidad.