Les chercheurs en cybersécurité de **ReliaQuest** ont découvert un nouveau groupe de menaces, **OP-512**, qui signifie "adversaire", ciblant activement les serveurs **Microsoft Internet Information Services (IIS)**. Ce groupe déploie un framework de web shell hautement personnalisé dans ce qui est considéré comme une campagne d'espionnage. **ReliaQuest** a lié **OP-512** à la Chine avec une confiance modérée à élevée, notant que les secteurs et les zones géographiques des cibles correspondent aux objectifs connus des renseignements chinois. Il s'agit du quatrième groupe de menaces lié à la Chine observé ciblant les serveurs web **IIS** au cours de la seule dernière année. ### Une tendance croissante : IIS comme cible principale L'émergence d'**OP-512** souligne une tendance plus large. D'autres adversaires liés à la Chine, notamment **CL-STA-0048**, **DragonRank** et **GhostRedirector**, se sont également concentrés sur les serveurs **IIS**. Le mois dernier, **Cisco Talos** a révélé que plusieurs groupes de cybercriminalité sinophones partagent même une variante de **malware** connue sous le nom de **BadIIS** pour compromettre ces serveurs. De plus, **SHADOW-EARTH-053** a été observé ciblant les secteurs gouvernementaux et de la défense en Asie du Sud, de l'Est et du Sud-Est en utilisant des **exploit**s **IIS**. ### Le framework de web shell personnalisé Au cœur des opérations d'**OP-512** se trouve un framework de web shell sur mesure comprenant trois web shells distincts. Ce framework offre aux attaquants un accès à distance aux hôtes compromis tout en employant des techniques sophistiquées pour échapper à la détection et entraver l'analyse forensique. Une technique d'évasion notable est le **timestomping** (**MITRE ATT&CK T1099**). Les attaquants manipulent les horodatages de création et de modification de leurs artefacts de web shell. Ils le font en analysant les fichiers environnants et les sous-dossiers, en calculant l'horodatage médian de dernière modification, puis en écrasant leurs propres horodatages pour qu'ils correspondent à cette valeur. Cela donne l'impression que les web shells sont présents sur le système depuis une durée plus longue, compliquant les chronologies forensiques.  **ReliaQuest** souligne les capacités avancées du framework : "Ce framework combine des capacités que nous voyons rarement ensemble : chaque déploiement est généré de manière unique, l'accès est restreint à l'attaquant grâce à des contrôles cryptographiques, et les serveurs compromis rapportent automatiquement pour une gestion centralisée à grande échelle." ### Détails de la chaîne d'attaque Lors d'une attaque observée par **ReliaQuest**, **OP-512** a ciblé un serveur **IIS** hérité exécutant **Windows Server 2016** avec un **.NET Framework 4.0** en fin de vie. Les preuves suggèrent une activité de reconnaissance préalable environ 75 jours avant l'incident principal, impliquant des requêtes **DNS** vers un autre domaine contrôlé par l'attaquant. L'attaque subséquente s'est déroulée rapidement, décrite comme un "sprint". L'attaquant a exploité le processus de travail du serveur web (`w3wp.exe`) pour déposer l'un des web shells dans le répertoire de téléchargement de l'application. Cette action a déclenché un mécanisme d'auto-signalement, utilisant soit une requête **DNS**, soit une requête **HTTP** en secours, pour transmettre l'emplacement du web shell à un domaine contrôlé par l'attaquant. "Ensemble, les trois web shells ont donné à l'attaquant la gestion des fichiers, l'exécution de commandes authentifiée via deux chemins d'accès indépendants, et le rapport automatisé du compromis, le tout avant que quiconque n'ait eu le temps de réagir", ont expliqué les chercheurs de **ReliaQuest**. Après le déploiement, **OP-512** a tenté d'escalader ses privilèges au niveau `SYSTEM` en utilisant la suite d'outils **Potato Suite**. Ils ont ensuite exécuté des commandes comme `whoami /priv` pour confirmer leurs droits système élevés. ### Implications pour les défenseurs **ReliaQuest** avertit que le ciblage constant des serveurs **IIS** par plusieurs groupes liés à la Chine n'est pas une coïncidence. "Les serveurs **IIS** exposés sur Internet exécutant des logiciels hérités et non pris en charge restent un point d'entrée privilégié dans cet écosystème de menaces et ne montrent aucun signe de ralentissement." Ce qui rend **OP-512** particulièrement préoccupant, ce sont ses outils uniques. Contrairement à d'autres groupes qui pourraient réutiliser des outils génériques, **OP-512** emploie un framework spécialement conçu pour contourner les méthodes de détection efficaces contre d'autres groupes. Les organisations qui ont optimisé leurs défenses contre les acteurs connus pourraient se retrouver vulnérables à l'approche novatrice d'**OP-512**.