Investigadores de ciberseguridad en **ReliaQuest** han descubierto un nuevo clúster de amenazas, **OP-512**, que significa "oponente", atacando activamente servidores de **Microsoft Internet Information Services (IIS)**. Este grupo está desplegando un framework de web shell altamente personalizado en lo que se cree que es una campaña de espionaje. **ReliaQuest** ha vinculado **OP-512** a China con confianza moderada a alta, señalando que los sectores y geografías de los objetivos se alinean con objetivos conocidos de inteligencia china. Este es el cuarto grupo de amenazas alineado con China observado atacando servidores web **IIS** solo en el último año. ### Una Tendencia Creciente: IIS como Objetivo Principal La aparición de **OP-512** subraya una tendencia más amplia. Otros adversarios vinculados a China, incluidos **CL-STA-0048**, **DragonRank** y **GhostRedirector**, también se han centrado en servidores **IIS**. El mes pasado, **Cisco Talos** reveló que varios grupos de cibercrimen de habla china incluso comparten una variante de malware conocida como **BadIIS** para comprometer estos servidores. Además, se ha observado que **SHADOW-EARTH-053** ataca sectores gubernamentales y de defensa en el sur, este y sureste de Asia utilizando exploits de **IIS**. ### El Framework Personalizado de Web Shell Central para las operaciones de **OP-512** es un framework de web shell a medida que consta de tres web shells distintos. Este framework proporciona a los atacantes acceso remoto a los hosts comprometidos, al tiempo que emplea técnicas sofisticadas para evadir la detección y dificultar el análisis forense. Una técnica de evasión notable es el **timestomping** (**MITRE ATT&CK T1099**). Los atacantes manipulan las marcas de tiempo de creación y modificación de sus artefactos de web shell. Lo hacen escaneando archivos y subcarpetas circundantes, calculando la marca de tiempo de última modificación mediana y luego sobrescribiendo sus propias marcas de tiempo para que coincidan con este valor. Esto hace que los web shells parezcan haber estado presentes en el sistema durante un período más largo, complicando las líneas de tiempo forenses.  **ReliaQuest** destaca las capacidades avanzadas del framework: "Este framework combina capacidades que rara vez vemos juntas: cada despliegue se genera de forma única, el acceso está restringido al atacante a través de controles criptográficos y los servidores comprometidos informan automáticamente para una gestión centralizada a escala." ### Detalles de la Cadena de Ataque En un ataque observado por **ReliaQuest**, **OP-512** atacó un servidor **IIS** heredado que ejecutaba **Windows Server 2016** con un **.NET Framework 4.0** al final de su vida útil. La evidencia sugiere actividad de reconocimiento previa aproximadamente 75 días antes del incidente principal, que involucró consultas DNS a un dominio diferente controlado por el atacante. El ataque posterior se desarrolló rápidamente, descrito como un "sprint". El atacante aprovechó el proceso de trabajo del servidor web (`w3wp.exe`) para dejar uno de los web shells en el directorio de carga de la aplicación. Esta acción activó un mecanismo de autoinforme, utilizando una consulta DNS o una solicitud HTTP como respaldo, para transmitir la ubicación del web shell a un dominio controlado por el atacante. "Juntos, los tres web shells le dieron al atacante gestión de archivos, ejecución de comandos autenticada a través de dos rutas de acceso independientes y notificación automatizada del compromiso, todo antes de que alguien tuviera tiempo de responder", explicaron los investigadores de **ReliaQuest**. Tras el despliegue, **OP-512** intentó escalar privilegios al nivel `SYSTEM` utilizando el conjunto de herramientas **Potato Suite**. Luego ejecutaron comandos como `whoami /priv` para confirmar sus derechos elevados del sistema. ### Implicaciones para los Defensores **ReliaQuest** advierte que el ataque constante a servidores **IIS** por parte de múltiples grupos vinculados a China no es una coincidencia. "Los servidores **IIS** expuestos a Internet que ejecutan software heredado y sin soporte siguen siendo un punto de entrada preferido en todo este ecosistema de amenazas y no muestran signos de desaceleración." Lo que hace que **OP-512** sea particularmente preocupante son sus herramientas únicas. A diferencia de otros grupos que podrían reutilizar herramientas genéricas, **OP-512** emplea un framework diseñado específicamente para eludir los métodos de detección efectivos contra otros clústeres. Las organizaciones que han optimizado sus defensas contra actores conocidos pueden encontrarse vulnerables al enfoque novedoso de **OP-512**.