Uma nova campanha de ciberataques, atribuída a um grupo de ameaça conhecido como CeranaKeeper, tem como alvo instituições governamentais no Sudeste Asiático, com foco na exfiltração de dados. A empresa de cibersegurança ESET, que detectou essas atividades, revelou que o grupo está ativo desde 2023, com campanhas observadas inicialmente na Tailândia. As ferramentas utilizadas pelo CeranaKeeper indicam uma possível ligação com a China, alinhando-se com métodos e ferramentas anteriormente associados ao grupo Mustang Panda.
Os ataques realizados pelo CeranaKeeper são sofisticados, utilizando serviços legítimos de compartilhamento de arquivos, como Dropbox e OneDrive, para implementar backdoors personalizados e ferramentas de extração de dados. Isso permite que os invasores utilizem esses serviços populares para mascarar suas atividades maliciosas e dificultar a detecção. Além da Tailândia, outras nações como Mianmar, Filipinas, Japão e Taiwan também foram identificadas como alvos de CeranaKeeper. Esses países, localizados na região do Sudeste Asiático, são historicamente visados por grupos de ciberataque patrocinados pelo estado chinês.
Embora o método exato de acesso inicial do grupo ainda não tenha sido totalmente esclarecido, uma vez dentro das redes-alvo, o CeranaKeeper rapidamente compromete outras máquinas, transformando algumas delas em servidores proxy ou servidores de atualização para manter suas operações. Entre as ferramentas utilizadas pelo grupo estão as famílias de malware TONESHELL, TONEINS e PUBLOAD, todas atribuídas ao Mustang Panda, além de um conjunto de ferramentas inéditas. Uma das ferramentas personalizadas desenvolvidas pelo grupo inclui o WavyExfiller, um script em Python que coleta dados de dispositivos conectados, como pen drives e discos rígidos, e os transfere para serviços como Dropbox e PixelDrain. Outras ferramentas incluem o DropboxFlop, que usa o Dropbox como servidor de comando e controle (C&C), o OneDoor, que se aproveita da API do Microsoft OneDrive para receber comandos e exfiltrar arquivos, e o BingoShell, que utiliza o GitHub para criar um shell reverso furtivo.