
Aktor ancaman yang bersekutu dengan Tiongkok bernama CeranaKeeper telah mengatur upaya eksfiltrasi data besar-besaran di Asia Tenggara, yang terbaru adalah meluncurkan rentetan serangan siber terhadap lembaga-lembaga pemerintah Thailand.
Kelompok ini telah bekerja sejak awal tahun 2022, menurut peneliti ESET. Analisis menunjukkan CeranaKeeper menggunakan komponen yang umum diketahui Grup APT yang didukung Tiongkok, Mustang Pandaselain alat baru untuk merusak layanan berbagi file yang sah, termasuk Pastebin, Dropbox, OneDrive, dan GitHub.
“Berdasarkan temuan kami, kami memutuskan untuk melacak klaster aktivitas ini sebagai pekerjaan aktor ancaman yang terpisah,” demikian laporan ESET yang baru. “Banyaknya kemunculan string [Bb]ectrl dalam kode alat grup menginspirasi kami untuk menamakannya CeranaKeeper; ini adalah permainan kata antara kata peternak lebah dan spesies lebah Apis Cerana, atau lebah madu Asia.”
CeranaKeeper membobol sistem pemerintah Thailand melalui serangan brute force terhadap server kontrol domain jaringan area lokal pada pertengahan tahun 2023, kata ESET. Dari sana kelompok tersebut dapat memperoleh akses istimewa, menerapkan pintu belakang Toneshell dan alat pembuangan kredensial, dan juga menyalahgunakan driver Avast yang sah untuk menonaktifkan perlindungan keamanan.
Setelah nyaman berada di jaringan, kelompok tersebut memulai upaya pengumpulan data besar-besaran, menurut pengamatan ESET.
Kelompok ini “tak henti-hentinya”, berkembang pesat, dan gesit, ESET memperingatkan.
“Operator menulis dan menulis ulang perangkat mereka sesuai kebutuhan operasi mereka dan bereaksi cukup cepat untuk menghindari deteksi,” tambah ESET. “Tujuan kelompok ini adalah mengumpulkan sebanyak mungkin file dan mengembangkan komponen spesifik untuk mencapai tujuan tersebut.”
Pemerintah China menggunakan kelompok APT seperti Mustang Panda dan CeranaKeeper untuk mendukung kegiatan pemerintah melalui spionase dan kejahatan dunia maya lainnya.