Pesquisadores de cibersegurança da **ReliaQuest** descobriram um novo cluster de ameaças, **OP-512**, que significa "oponente", visando ativamente servidores **Microsoft Internet Information Services (IIS)**. Este grupo está implantando um framework de web shell altamente customizado no que se acredita ser uma campanha de espionagem. A **ReliaQuest** ligou o **OP-512** à China com confiança moderada a alta, observando que os setores e geografias dos alvos se alinham com objetivos conhecidos de inteligência chinesa. Este é o quarto grupo de ameaças alinhado à China observado visando servidores web **IIS** apenas no último ano. ### Uma Tendência Crescente: IIS como Alvo Principal A emergência do **OP-512** sublinha uma tendência mais ampla. Outros adversários ligados à China, incluindo **CL-STA-0048**, **DragonRank** e **GhostRedirector**, também focaram em servidores **IIS**. No mês passado, a **Cisco Talos** revelou que múltiplos grupos de cibercrime que falam chinês estão até compartilhando uma variante de malware conhecida como **BadIIS** para comprometer esses servidores. Além disso, o **SHADOW-EARTH-053** tem sido observado visando setores governamentais e de defesa na América do Sul, Leste e Sudeste Asiático usando exploits **IIS**. ### O Framework Customizado de Web Shell Central para as operações do **OP-512** é um framework de web shell sob medida, composto por três web shells distintos. Este framework fornece aos atacantes acesso remoto a hosts comprometidos, enquanto emprega técnicas sofisticadas para evadir detecção e dificultar a análise forense. Uma técnica de evasão notável é o **timestomping** (**MITRE ATT&CK T1099**). Os atacantes manipulam os timestamps de criação e modificação de seus artefatos de web shell. Eles fazem isso escaneando arquivos e subpastas adjacentes, calculando o timestamp de última modificação mediano e, em seguida, sobrescrevendo seus próprios timestamps para corresponder a esse valor. Isso faz com que os web shells pareçam ter estado presentes no sistema por um período mais longo, complicando as linhas do tempo forenses.  A **ReliaQuest** destaca as capacidades avançadas do framework: "Este framework combina capacidades que raramente vemos juntas: cada implantação é gerada de forma única, o acesso é restrito ao atacante por meio de controles criptográficos e servidores comprometidos reportam automaticamente para gerenciamento centralizado em escala." ### Detalhes da Cadeia de Ataque Em um ataque observado pela **ReliaQuest**, o **OP-512** visou um servidor **IIS** legado executando **Windows Server 2016** com um **.NET Framework 4.0** fora de suporte. Evidências sugerem atividade de reconhecimento prévia aproximadamente 75 dias antes do incidente principal, envolvendo consultas DNS para um domínio diferente controlado pelo atacante. O ataque subsequente se desenrolou rapidamente, descrito como um "sprint". O atacante alavancou o processo de trabalho do servidor web (`w3wp.exe`) para depositar um dos web shells no diretório de upload da aplicação. Esta ação acionou um mecanismo de auto-relato, usando uma consulta DNS ou uma requisição HTTP como fallback, para transmitir a localização do web shell para um domínio controlado pelo atacante. "Juntos, os três web shells deram ao atacante gerenciamento de arquivos, execução de comandos autenticada através de dois caminhos de acesso independentes e relato automatizado do comprometimento, tudo antes que alguém tivesse tempo de responder", explicaram os pesquisadores da **ReliaQuest**. Após a implantação, o **OP-512** tentou escalar privilégios para o nível `SYSTEM` usando o conjunto de ferramentas **Potato Suite**. Em seguida, executaram comandos como `whoami /priv` para confirmar seus direitos elevados no sistema. ### Implicações para Defensores A **ReliaQuest** alerta que o direcionamento consistente de servidores **IIS** por múltiplos grupos ligados à China não é coincidência. "Servidores **IIS** expostos à internet executando software legado e sem suporte permanecem um ponto de entrada preferencial em todo este ecossistema de ameaças e não mostram sinais de desaceleração." O que torna o **OP-512** particularmente preocupante são suas ferramentas únicas. Ao contrário de outros grupos que podem reutilizar ferramentas comuns, o **OP-512** emprega um framework construído propositalmente, projetado para contornar métodos de detecção eficazes contra outros clusters. Organizações que otimizaram suas defesas contra atores conhecidos podem se encontrar vulneráveis à abordagem inovadora do **OP-512**.