Pesquisadores identificaram um novo cluster de ameaça, ainda não documentado publicamente, que vem mirando servidores Microsoft Internet Information Services, conhecidos como IIS, para implantar um framework personalizado de web shells. O grupo foi batizado de OP-512, em que “OP” representa “opponent”, ou adversário.

De acordo com a ReliaQuest, a atividade tem foco em espionagem e foi associada, com confiança moderada a alta, a interesses ligados à China. A empresa avaliou que o grupo provavelmente conduzia operações de coleta de inteligência a partir de um servidor IIS comprometido em uma organização cujo setor e localização geográfica estariam alinhados a prioridades de inteligência chinesas.

Embora os pesquisadores não tenham encontrado sobreposição direta entre o OP-512 e outros grupos já conhecidos alinhados à China, a campanha chama atenção por reforçar uma tendência observada nos últimos 12 meses: o uso de servidores IIS como alvo recorrente por diferentes clusters de ameaça. Antes do OP-512, grupos como CL-STA-0048, DragonRank e GhostRedirector também foram associados a ataques contra essa tecnologia.

No mês passado, a Cisco Talos revelou que múltiplos grupos de cibercrime de língua chinesa estavam compartilhando uma variante de malware chamada BadIIS para infectar servidores IIS. Além disso, servidores Microsoft IIS também foram alvo do SHADOW-EARTH-053 em uma campanha de espionagem alinhada à China contra setores governamentais e de defesa no Sul, Leste e Sudeste Asiático.

O principal diferencial do OP-512 está no uso de um framework próprio de web shells, composto por três componentes que fornecem acesso remoto ao host comprometido. Web shells são scripts maliciosos implantados em servidores web para permitir que invasores executem comandos, manipulem arquivos e mantenham acesso ao ambiente comprometido por meio da própria aplicação exposta.

Segundo a ReliaQuest, o framework foi projetado para dificultar a detecção baseada em assinaturas e complicar a análise forense. Uma das técnicas empregadas é o timestomping, que consiste em manipular intencionalmente os registros de data e hora de criação ou modificação dos artefatos maliciosos.

Nesse caso, os web shells verificam arquivos e subpastas ao redor do diretório onde foram implantados, calculam a mediana dos timestamps de última modificação e sobrescrevem suas próprias datas de criação e alteração para combinar com esse valor. Com isso, os arquivos maliciosos passam a aparentar que já estavam presentes no servidor havia mais tempo, reduzindo a chance de chamar atenção durante uma investigação baseada em linha do tempo.

A ReliaQuest destacou que o framework combina recursos pouco comuns em uma única operação. Cada implantação é gerada de forma única, o acesso é restrito ao invasor por meio de controles criptográficos e os servidores comprometidos reportam automaticamente sua localização para uma infraestrutura centralizada de gerenciamento. Essa combinação permite operar em escala, com maior controle sobre os acessos e menor exposição a mecanismos tradicionais de detecção.

O OP-512 apresenta proximidade tática com o CL-STA-0048, o que levanta a possibilidade de se tratar de um cluster já existente que reformulou completamente seu conjunto de ferramentas ou, alternativamente, de um grupo que desenvolveu capacidades semelhantes de forma independente. Ainda assim, a ReliaQuest avalia o OP-512 como um cluster distinto, operando de maneira autônoma.

No ataque analisado pela empresa, os invasores miraram um servidor IIS legado executando Windows Server 2016 e .NET Framework 4.0, uma versão já sem suporte. Os pesquisadores também encontraram indícios de atividade anterior no mesmo host cerca de 75 dias antes do incidente principal, incluindo consultas DNS para um domínio diferente controlado pelo atacante, “ashx.lhlsjcb[.]com”.

Semanas depois, a sequência de ações foi descrita pelos pesquisadores como um “sprint”, ou seja, uma execução rápida e concentrada. O invasor utilizou o processo de trabalho do servidor web, “w3wp.exe”, para gravar um dos web shells no diretório de upload da aplicação. Esse processo é legítimo no ambiente IIS e normalmente é responsável por executar aplicações web hospedadas no servidor, o que pode ajudar a mascarar a atividade maliciosa.

Após a implantação, o web shell acionou um mecanismo de autorrelato, usando uma consulta DNS ou, como alternativa, uma requisição HTTP para transmitir sua localização a uma infraestrutura controlada pelo invasor. Dessa forma, os operadores da campanha conseguiam registrar automaticamente quais servidores haviam sido comprometidos e onde os artefatos estavam posicionados.

Com os três web shells instalados, o OP-512 obteve capacidades de gerenciamento de arquivos, execução autenticada de comandos por dois caminhos independentes e comunicação automatizada sobre o comprometimento. Segundo os pesquisadores, tudo isso ocorreu antes que houvesse tempo hábil para uma resposta defensiva.

Depois da implantação dos web shells, o grupo tentou elevar privilégios para o nível SYSTEM usando a Potato Suite, um conjunto de técnicas e ferramentas exploradas para abuso de privilégios em ambientes Windows. Em seguida, os invasores executaram comandos como “whoami /priv” para confirmar os direitos disponíveis no sistema comprometido.

A ReliaQuest afirmou que quatro clusters ligados à China mirando a mesma tecnologia em menos de um ano dificilmente representam uma coincidência. Para a empresa, servidores IIS expostos à internet e executando softwares legados ou sem suporte continuam sendo um ponto de entrada preferencial dentro desse ecossistema de ameaças.

O aspecto mais preocupante do OP-512, segundo os pesquisadores, é que o grupo não depende de ferramentas comuns reutilizadas em várias campanhas. Em vez disso, utiliza um framework desenvolvido sob medida para contornar métodos de detecção que poderiam funcionar contra outros clusters conhecidos. Isso significa que organizações que ajustaram suas defesas apenas com base em atores já mapeados podem não estar adequadamente protegidas contra essa nova atividade.

Para equipes de segurança, a campanha reforça a necessidade de revisar servidores IIS expostos, especialmente aqueles que executam versões antigas do Windows Server, .NET Framework sem suporte ou aplicações com diretórios de upload acessíveis. Também é importante monitorar alterações incomuns em arquivos web, discrepâncias em timestamps, execuções suspeitas originadas pelo processo “w3wp.exe”, consultas DNS para domínios desconhecidos e tentativas de elevação de privilégio em servidores de aplicação.