OP-512: novo cluster chinês compromete servidores IIS com framework próprio de web shells

A ReliaQuest revelou um novo cluster de espionagem batizado de OP-512 que vem comprometendo servidores Microsoft IIS por meio de um framework próprio de web shells de três estágios. Avaliada com confiança moderada a alta como ligada à China, a operação é a quarta agrupação distinta de origem chinesa observada nos últimos doze meses focada em IIS, ao lado de CL-STA-0048, DragonRank e GhostRedirector — e tornou-se um lembrete incômodo de que servidores web legados continuam funcionando como porta de entrada preferida do espionage chinês.

O que aconteceu

Pesquisadores da ReliaQuest documentaram a atividade após detectarem o comprometimento de um servidor IIS rodando Windows Server 2016 com .NET Framework 4.0 — uma combinação fora de suporte que ainda persiste em ambientes corporativos. A vítima, segundo a empresa, pertence a um setor e a uma geografia compatíveis com as prioridades de inteligência de Pequim, embora os detalhes específicos não tenham sido publicados.

A campanha não foi um movimento isolado. Logs analisados mostram que houve atividade preparatória no mesmo host cerca de 75 dias antes do incidente principal, com consultas DNS para um domínio operado pelos atacantes (ashx.lhlsjcb[.]com). Esse intervalo extenso entre reconhecimento e exploração final é típico de operações de espionagem de Estado: o objetivo é persistência discreta, não monetização rápida.

O OP-512 surge poucas semanas depois da Cisco Talos descrever uma variante do malware BadIIS sendo compartilhada entre múltiplos grupos cibercriminosos de língua chinesa, e do mapeamento, por outros pesquisadores, do cluster SHADOW-EARTH-053, que tem mirado entidades governamentais e de defesa no Sul, Leste e Sudeste Asiáticos — todos com IIS no centro do alvo.

Detalhes técnicos do framework

O núcleo da operação é um framework customizado de web shells composto por três módulos, projetados para conceder acesso remoto ao servidor comprometido enquanto frustram detecção baseada em assinaturas e atrapalham a investigação forense. Entre as técnicas mais relevantes está o timestomping, que manipula propositalmente os carimbos de tempo de criação e modificação dos artefatos, embaralhando a linha do tempo que costuma orientar analistas DFIR.

Cada implantação é gerada de forma única e o acesso aos web shells é restrito ao operador por meio de controles criptográficos, o que reduz drasticamente o valor de IOCs estáticos. Os hosts comprometidos também reportam de volta automaticamente, sugerindo uma camada centralizada de gestão capaz de escalar para múltiplas vítimas simultaneamente.

“Este framework combina capacidades que raramente vemos juntas: cada implantação é gerada de forma única, o acesso é restrito ao atacante por controles criptográficos e os servidores comprometidos reportam automaticamente para gestão centralizada em escala.”

ReliaQuest

A ReliaQuest aponta proximidade tática com o cluster CL-STA-0048, abrindo duas hipóteses: ou trata-se de um grupo conhecido que reformulou completamente seu arsenal, ou de uma equipe que desenvolveu capacidades semelhantes de forma independente. Em qualquer dos cenários, o OP-512 é tratado como cluster distinto, operando de modo autônomo.

Quem é afetado

O perfil de risco recai principalmente sobre organizações que ainda mantêm servidores IIS expostos à internet em configurações desatualizadas. Entre os pontos de exposição mais relevantes destacam-se:

• Aplicações .NET legadas hospedadas em Windows Server 2012/2016 fora de suporte ou com .NET Framework 4.0/4.5.
• Servidores IIS publicados sem WAF, sem segmentação clara, ou expostos diretamente em portas 80/443 para a internet.
• Ambientes em que monitoração de integridade de arquivos (FIM) não cobre os diretórios wwwroot e App_Data.
• Pipelines de CI/CD que escrevem em produção sem verificação de hash de artefatos, abrindo espaço para implantes persistentes.
• Setores tradicionalmente alvo de espionagem chinesa: defesa, telecom, energia, governos, semicondutores, manufatura avançada.

Análise

A descoberta do OP-512 reforça uma tendência que merece atenção dos defensores: o IIS deixou de ser apenas alvo oportunista de grupos de SEO poisoning como o DragonRank e passou a ser plataforma estratégica para operações de espionagem chinesas mais sofisticadas. Em pouco mais de um ano, quatro clusters distintos convergiram para o mesmo tipo de servidor, o que dificilmente é coincidência.

A explicação é estrutural. Servidores IIS expostos costumam ser vistos como “infraestrutura interna” mesmo quando publicados na borda; muitos ambientes não os tratam com o mesmo nível de rigor aplicado a servidores Linux internet-facing. Além disso, web shells em ASP.NET podem se misturar com handlers .ashx legítimos, dificultando a triagem. Adicione a isso o fato de que muitas vítimas operam versões legadas do .NET sem AMSI funcional para código gerado dinamicamente, e o IIS vira uma cabeça de praia de alto valor.

O uso intensivo de controles criptográficos para limitar o acesso ao web shell — uma técnica vista também em famílias como o GodzillaShell e em variantes do Behinder — é o que distingue o OP-512 da geração anterior de implantes. Equipes de detecção que ainda dependem de regras YARA baseadas em strings literais ou de IOCs estáticos compartilhados terão pouca tração; a partir de agora, telemetria comportamental do w3wp.exe e análise de processo-filho passam a ser linha de frente.

Recomendações práticas

• Inventarie todos os servidores IIS expostos e priorize a atualização ou desativação de Windows Server 2012/2016 com .NET Framework 4.x sem suporte.
• Implemente monitoração de integridade em C:\inetpub\wwwroot, módulos ISAPI e App_Data, alertando sobre criação ou modificação de arquivos .aspx, .ashx e .asmx.
• Habilite logging detalhado do IIS, encaminhe para SIEM e crie detecções para POSTs anômalos a handlers raramente acessados.
• Caça com foco em processos-filho suspeitos de w3wp.exe (cmd.exe, powershell.exe, certutil, bitsadmin, rundll32) — qualquer um deles é um sinal forte.
• Trate qualquer evidência de timestomping em diretório web como incidente crítico até prova em contrário.
• Bloqueie egress não autorizado a partir de servidores web, e adicione regras DNS para domínios recém-registrados consultados por hosts IIS.
• Revise pipelines de deploy e remova permissões de escrita desnecessárias da conta do app pool.

Fonte: The Hacker News