Un nuovo attore di minacce, denominato CeranaKeeper, è stato recentemente scoperto mentre conduce attacchi di esfiltrazione dati nel Sud-Est asiatico. Secondo la società di sicurezza informatica slovacca ESET, che ha osservato campagne mirate contro istituzioni governative in Thailandia a partire dal 2023, l'attività di CeranaKeeper è stata attribuita alla Cina. Questo gruppo sfrutta strumenti precedentemente identificati come utilizzati dall'attore Mustang Panda. CeranaKeeper si distingue per l'aggiornamento costante del suo backdoor per evitare il rilevamento e diversifica i suoi metodi per facilitare l'esfiltrazione massiva di dati. Utilizza servizi cloud e di condivisione file legittimi e popolari come Dropbox e OneDrive per implementare backdoor personalizzate e strumenti di estrazione.

Oltre alla Thailandia, altri paesi presi di mira includono Myanmar, Filippine, Giappone e Taiwan, tutti già nel mirino di attori sponsorizzati dallo stato cinese negli ultimi anni. CeranaKeeper è descritto come implacabile, creativo e capace di adattarsi rapidamente, dimostrando un'aggressività e avidità nel muoversi lateralmente attraverso ambienti compromessi per raccogliere quante più informazioni possibili tramite vari backdoor e strumenti di esfiltrazione. L'uso estensivo di espressioni jolly per attraversare, a volte, intere unità dimostra chiaramente l'obiettivo di un massiccio sifonamento di dati. Sebbene le modalità di accesso iniziale utilizzate dall'attore di minacce rimangano sconosciute, una volta ottenuto un punto d'appoggio iniziale, CeranaKeeper sfrutta questo accesso per penetrare ulteriormente nelle reti locali, trasformando alcune macchine compromesse in proxy o server di aggiornamento per memorizzare aggiornamenti per il loro backdoor.

Gli attacchi si caratterizzano per l'utilizzo di famiglie di malware come TONESHELL, TONEINS e PUBLOAD, tutte attribuite al gruppo Mustang Panda, oltre a un arsenale di strumenti mai visti prima per aiutare nell'esfiltrazione dei dati. Dopo aver ottenuto l'accesso privilegiato, gli attaccanti installano il backdoor TONESHELL, implementano uno strumento per scaricare credenziali e utilizzano un driver Avast legittimo e un'applicazione personalizzata per disabilitare i prodotti di sicurezza sulla macchina. Da questo server compromesso, usano una console di amministrazione remota per distribuire ed eseguire il loro backdoor su altri computer nella rete. Inoltre, CeranaKeeper utilizza il server compromesso per memorizzare aggiornamenti per TONESHELL, trasformandolo in un server di aggiornamento.

Il set di strumenti personalizzati recentemente scoperto include WavyExfiller, un uploader Python che raccoglie dati, compresi dispositivi connessi come USB e hard disk, utilizzando Dropbox e PixelDrain come endpoint di esfiltrazione. DropboxFlop è una variante di una shell inversa disponibile pubblicamente chiamata DropFlop, che utilizza Dropbox come server di comando e controllo. OneDoor è un backdoor in C++ che sfrutta l'API REST di Microsoft OneDrive per ricevere comandi ed esfiltrare file. BingoShell è un backdoor Python che sfrutta le funzioni di richiesta di pull e commenti delle issue di GitHub per creare una shell inversa furtiva.