Um novo cluster de ameaças com ligações suspeitas à China, rastreado como OP-512, foi identificado atacando servidores de Internet Information Services (IIS) utilizando um framework de web shell personalizado. A descoberta marca uma escalada em um padrão crescente de espionagem alinhada a estados contra infraestrutura de servidores legados. O que torna o OP-512 especialmente alarmante é sua paciência, com evidências de que o atacante acessou o servidor alvo 75 dias antes da intrusão principal ser descoberta.
Descoberta e escopo
Analistas da ReliaQuest identificaram este novo cluster após seu sistema de IA Agentic costurar um alto volume de eventos suspeitos aparentemente não relacionados em um único incidente de alta prioridade. A análise subsequente confirmou que o setor e a geografia da organização alvo alinhavam-se com as prioridades de inteligência ligadas à China. O grupo é avaliado com confiança moderada-alta como um ator novo e anteriormente não documentado.
Vetor e exploração
No centro da operação está um framework de web shell personalizado composto por três arquivos maliciosos que dão aos atacantes acesso remoto através de um navegador web. Cada implantação é criptograficamente única, o que significa que ferramentas baseadas em assinatura tradicionais não podem detectá-la de forma confiável. Cada instalação gera uma impressão digital de arquivo completamente diferente, tornando muitas defesas comuns ineficazes.
Evidências e limites
O servidor comprometido estava executando o Windows Server 2016 com uma versão do .NET Framework que não recebeu atualizações de segurança desde 2016. O OP-512 é pelo menos o quarto cluster ligado à China documentado atacando servidores IIS legados no último ano, confirmando que a infraestrutura desatualizada e voltada para a internet permanece como um ponto de entrada preferencial para espionagem.
Impacto e alcance
Uma vez dentro do servidor, o OP-512 moveu-se rapidamente para estabelecer controle. O processo de trabalho do servidor web escreveu a primeira web shell para um diretório de upload, um gerenciador de arquivos .aspx com um canal de notificação de comando e controle embutido. Dentro de segundos, ele codificou sua própria URL e transmitiu essa localização através de dois canais independentes: uma consulta DNS e, como fallback, uma solicitação HTTP para um servidor de backup ligado a infraestrutura conhecida do Meterpreter.
Medidas de mitigação recomendadas
Os defensores são aconselhados a aposentar ou isolar servidores voltados para a internet executando frameworks .NET com fim de vida imediatamente. As organizações devem desabilitar a execução de scripts em diretórios de upload, monitorar diretórios de compilação ASP.NET para criação inesperada de arquivos e aplicar regras de firewall de aplicativo web. As equipes de incidente não devem fechar um caso até que o ponto de entrada seja confirmado e corrigido, pois remover web shells sozinho não aborda a vulnerabilidade subjacente.
Indicadores de Comprometimento (IoCs)
Os indicadores de comprometimento observados incluem domínios DNS como ashx.lhlsjcb[.]com e hcgos[.]com, além de endereços IP como 43.160.202[.]246:8053 e 140.206.161[.]227:443. Os atacantes também utilizaram timestomping, onde os carimbos de data e hora dos arquivos são manipulados para corresponder aos de arquivos legítimos já no servidor, minando diretamente uma técnica forense padrão.
Conclusão
A atividade do OP-512 destaca a persistência e sofisticação dos atores de ameaças apoiados por estados. A combinação de web shells criptograficamente únicos, técnicas de evasão avançadas e o uso de ferramentas de escalonamento de privilégios como a "Potato Suite" representa um desafio significativo para as equipes de segurança. A atualização de infraestrutura legada e a monitorização proativa de atividades de rede são essenciais para a defesa contra tais ameaças.