OP-512: nuevo grupo chino ataca servidores IIS

Investigadores de ciberseguridad han revelado la existencia de un nuevo clúster de amenazas denominado OP-512, una operación de ciberespionaje previamente desconocida que ha sido observada comprometiendo servidores Microsoft Internet Information Services (IIS) mediante un sofisticado framework de web shells diseñado para mantener acceso persistente, evadir herramientas de detección y facilitar actividades de inteligencia a largo plazo.

De acuerdo con un informe publicado por la firma de seguridad ReliaQuest, la actividad ha sido atribuida con un nivel de confianza moderado a alto a actores alineados con intereses estratégicos de China. Aunque no existen coincidencias directas con grupos de amenazas previamente identificados, los investigadores consideran que la operación comparte características operativas y objetivos consistentes con campañas de espionaje cibernético vinculadas al ecosistema de amenazas chino.

OP-512 se suma a la creciente ola de ataques contra servidores IIS

Los servidores Microsoft IIS se han convertido en uno de los objetivos preferidos para múltiples grupos de amenazas relacionados con China durante los últimos meses.

Según ReliaQuest, OP-512 es el cuarto clúster de amenazas asociado con actividades de espionaje chino que centra sus operaciones en servidores IIS durante el último año. Anteriormente, investigadores habían documentado campañas similares relacionadas con grupos como CL-STA-0048, DragonRank y GhostRedirector.

La tendencia se ha intensificado recientemente. Hace apenas unas semanas, investigadores de Cisco Talos revelaron que varios grupos de habla china estaban compartiendo una variante de malware denominada BadIIS para comprometer servidores web empresariales.

Asimismo, campañas atribuidas a SHADOW-EARTH-053 también han utilizado servidores IIS vulnerables para infiltrarse en organismos gubernamentales, entidades de defensa y organizaciones estratégicas ubicadas en el sur, este y sudeste asiático.

Este patrón demuestra que los servidores IIS continúan siendo una pieza clave dentro de las operaciones de ciberespionaje impulsadas por actores estatales y grupos patrocinados por gobiernos.

Un framework de web shells diseñado para evadir la detección

Uno de los aspectos más destacados de OP-512 es el desarrollo de un framework web shell completamente personalizado.

A diferencia de muchas campañas que reutilizan herramientas ampliamente conocidas, este grupo emplea un conjunto exclusivo de tres web shells diseñados específicamente para proporcionar acceso remoto a sistemas comprometidos mientras dificultan significativamente las tareas de detección e investigación forense.

Los investigadores explican que cada implementación es generada de forma única para cada víctima, lo que reduce la eficacia de los sistemas de detección basados en firmas tradicionales.

Además, el acceso a las herramientas desplegadas está protegido mediante mecanismos criptográficos que limitan su utilización exclusivamente a los operadores del grupo atacante.

Otra característica particularmente sofisticada es la incorporación de capacidades de autoinforme. Una vez comprometido un servidor, los web shells notifican automáticamente a la infraestructura de mando y control del atacante, permitiendo gestionar múltiples víctimas de forma centralizada y a gran escala.

Timetomping: la técnica utilizada para ocultar la intrusión

El framework desarrollado por OP-512 incorpora técnicas avanzadas de evasión forense, incluyendo el uso de timetomping.

Esta técnica consiste en manipular deliberadamente las marcas temporales de archivos maliciosos para que parezcan legítimos o antiguos.

Según ReliaQuest, los web shells escanean automáticamente los directorios donde son instalados y calculan el promedio de las fechas de modificación de archivos cercanos. Posteriormente, modifican sus propios registros de creación y modificación para coincidir con esos valores.

Como resultado, los archivos maliciosos aparentan haber estado presentes en el sistema durante largos períodos de tiempo, dificultando enormemente las investigaciones de respuesta a incidentes y el análisis cronológico de la intrusión.

Esta capacidad representa una evolución significativa frente a los web shells tradicionales utilizados por otros grupos de amenazas.

Cómo opera OP-512 dentro de las redes comprometidas

El incidente analizado por ReliaQuest involucró un servidor heredado Microsoft IIS ejecutando Windows Server 2016 junto con una versión obsoleta de .NET Framework 4.0 que ya había alcanzado el final de su ciclo de vida.

Los investigadores descubrieron evidencia de actividad sospechosa aproximadamente 75 días antes del incidente principal.

Durante esa fase inicial se observaron consultas DNS hacia un dominio controlado por los atacantes identificado como:

ashx.lhlsjcb[.]com

Posteriormente, semanas después, los operadores lanzaron una fase más agresiva descrita por los investigadores como un "sprint operativo".

Durante esta etapa, los atacantes aprovecharon el proceso legítimo del servidor web w3wp.exe para desplegar uno de sus web shells dentro del directorio de carga de archivos de la aplicación comprometida.

Una vez instalado, el framework activó automáticamente su mecanismo de notificación utilizando consultas DNS o solicitudes HTTP como canal alternativo para informar a la infraestructura de mando y control sobre la ubicación exacta del nuevo punto de acceso.

Gracias a este proceso automatizado, los operadores pueden identificar rápidamente sistemas comprometidos y gestionar operaciones de espionaje a gran escala sin intervención manual constante.

Escalada de privilegios hasta SYSTEM

Tras obtener acceso inicial mediante los web shells, OP-512 intentó elevar privilegios utilizando herramientas ampliamente conocidas dentro de la comunidad ofensiva, entre ellas Potato Suite.

Esta colección de técnicas permite aprovechar configuraciones específicas de Windows para obtener privilegios elevados y alcanzar el nivel SYSTEM, el más alto dentro del sistema operativo.

Los investigadores observaron posteriormente la ejecución de comandos como:

whoami /priv

El objetivo de esta acción era verificar que la escalada de privilegios se hubiera completado con éxito y confirmar el acceso total al sistema comprometido.

Una vez obtenido este nivel de control, los atacantes pueden moverse lateralmente, acceder a información sensible, instalar herramientas adicionales o mantener persistencia a largo plazo dentro de la infraestructura objetivo.

¿Por qué OP-512 representa una amenaza diferente?

Según ReliaQuest, la principal preocupación no radica únicamente en la actividad de espionaje, sino en la sofisticación técnica del framework desarrollado por este grupo.

Mientras otros actores reutilizan herramientas públicas o malware previamente identificado, OP-512 utiliza capacidades creadas específicamente para evitar los mecanismos de detección desarrollados contra grupos chinos ya conocidos.

Esta estrategia reduce significativamente la efectividad de las soluciones tradicionales de seguridad y aumenta las probabilidades de permanecer ocultos durante largos períodos.

Los investigadores también destacan que la ausencia de solapamientos directos con otros grupos podría indicar dos escenarios: que OP-512 sea una evolución completa de un actor previamente conocido o que se trate de una operación independiente desarrollada desde cero.

En cualquier caso, el grupo demuestra capacidades avanzadas de desarrollo, evasión y gestión de infraestructura maliciosa.

Los servidores IIS antiguos continúan siendo un objetivo prioritario

El descubrimiento de OP-512 confirma una tendencia creciente dentro del panorama global de amenazas: los servidores IIS expuestos a Internet y ejecutando software heredado siguen siendo uno de los vectores de acceso preferidos por los grupos de espionaje vinculados a China.

La combinación de sistemas desactualizados, aplicaciones sin soporte y configuraciones inseguras continúa ofreciendo oportunidades valiosas para actores avanzados que buscan infiltrarse en organizaciones gubernamentales, empresas estratégicas e infraestructuras críticas.

Para los equipos de seguridad, este hallazgo subraya la necesidad de reforzar la protección de servidores IIS, implementar programas continuos de gestión de vulnerabilidades, actualizar plataformas obsoletas y mejorar las capacidades de detección frente a amenazas que utilizan herramientas personalizadas.

La aparición de OP-512 demuestra que los grupos de ciberespionaje continúan evolucionando rápidamente y desarrollando nuevas técnicas para eludir las defensas tradicionales, convirtiendo la protección de servidores web empresariales en una prioridad crítica para las organizaciones de todo el mundo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login