Inicio Noticias Detalles
El clúster chino OP-512 apunta a servidores IIS para implementar un Web Shell personalizado
2026-06-06 11:43
Favoritos

es.wedoany.com Noticia: Investigadores de ciberseguridad han descubierto un clúster de amenazas no reportado anteriormente, denominado OP-512, que se dirige a servidores de Internet Information Services (IIS) de Microsoft para implementar un marco de Web Shell personalizado. La empresa de seguridad ReliaQuest evalúa con una confianza de media a alta que esta campaña de ataque centrada en el espionaje está vinculada a China.

ReliaQuest señala en su informe que OP-512 probablemente realiza espionaje contra organizaciones a través de servidores web IIS comprometidos, cuyas industrias y ubicaciones geográficas coinciden con las prioridades de inteligencia de China. Aunque no se ha encontrado superposición entre OP-512 y otros adversarios conocidos relacionados con China, es el cuarto grupo de amenazas que se dirige específicamente a servidores IIS en los últimos 12 meses, después de CL-STA-0048, DragonRank y GhostRedirector. El mes pasado, Cisco Talos reveló que múltiples grupos de ciberdelincuencia chinos comparten una variante de malware llamada BadIIS para infectar servidores IIS. Los servidores IIS también se han convertido en objetivo de SHADOW-EARTH-053, como parte de una nueva actividad de espionaje relacionada con China que apunta a los sectores gubernamentales y de defensa en el sur, este y sudeste de Asia.

El núcleo de la operación OP-512 es un marco de Web Shell personalizado que incluye tres Web Shell, lo que permite a los atacantes acceder de forma remota a los hosts comprometidos, mientras toman medidas para evadir la detección basada en firmas y complican la línea de tiempo forense mediante técnicas como la manipulación de marcas de tiempo (timestomping) para alterar deliberadamente las marcas de tiempo de creación o modificación de los artefactos del Web Shell. Específicamente, los atacantes escanean cada archivo y subcarpeta alrededor de la ubicación del Web Shell, calculan la marca de tiempo de modificación más reciente del valor intermedio y sobrescriben sus propias marcas de tiempo de creación y modificación para que coincidan con ese valor, dando la impresión de que han existido durante un tiempo.

ReliaQuest afirma que el marco combina capacidades que rara vez aparecen juntas: cada implementación se genera de forma única, el acceso de los atacantes se limita mediante controles de cifrado, y los servidores comprometidos se reportan automáticamente para permitir una gestión centralizada a gran escala. OP-512 está tácticamente muy cerca de CL-STA-0048, y podría representar un clúster existente que ha renovado completamente su conjunto de herramientas, o haber desarrollado estas capacidades de forma independiente. Independientemente de su origen, este grupo de hackers es un clúster único que opera de manera autónoma.

En los ataques observados, el actor de amenazas se dirigió a un servidor IIS antiguo que ejecuta Windows Server 2016 y utiliza .NET Framework 4.0, que ya no tiene soporte. Las pruebas indican que el mismo host tuvo actividad aproximadamente 75 días antes del evento principal, relacionada con consultas DNS al dominio controlado por los atacantes "ashx.lhlsjcb[.]com". Varias semanas después, una serie de acciones descritas como un "sprint" llevaron a los atacantes a utilizar el proceso de trabajo del servidor web ("w3wp.exe") para colocar uno de los Web Shell en el directorio de carga de la aplicación, activando un mecanismo de autoinforme que transmite la ubicación del Web Shell al dominio controlado por los atacantes mediante consultas DNS o solicitudes HTTP.

Los tres Web Shell proporcionan conjuntamente a los atacantes gestión de archivos, ejecución de comandos con autenticación a través de dos rutas de acceso independientes, y reporte automático del estado de compromiso. Tras implementar el Web Shell, OP-512 intentó elevar privilegios al nivel SYSTEM utilizando Potato Suite, y luego ejecutó comandos como "whoami /priv" para confirmar los permisos del sistema.

ReliaQuest señala que es poco probable que sea una coincidencia que cuatro clústeres relacionados con China se dirijan a la misma tecnología en menos de un año. Los servidores IIS orientados a Internet que ejecutan software antiguo y sin soporte siguen siendo un punto de entrada popular en este ecosistema de amenazas, sin señales de desaceleración. Lo que más debería preocupar a los defensores es la diferencia de OP-512: este clúster de amenazas no utiliza herramientas genéricas reutilizadas en múltiples operaciones, sino un marco especialmente construido diseñado para superar los métodos de detección efectivos contra los otros tres clústeres. Las organizaciones que han ajustado sus defensas basándose en actores conocidos probablemente no están cubiertas.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com

China
Información y comunicaciónIngeniería de confidencialidad de información y seguridad de datos
Anterior:Shell y C3 AI colaboran para automatizar el mantenimiento predictivo de 30.000 equipos
Posterior:La autopista de circunvalación de Nápoles obtiene la certificación como primera carretera inteligente
Productos relacionados
Solicitar
Sistema de monitoreo inteligente de cinta transportadora
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Solicitar
Productos de sistemas de multiplexación por división de longitud de onda (WDM)
Shenzhen SDG Information Co., Ltd.
Solicitar
Pinming CCBIM
Pinming Technology Co., Ltd.
Solicitar
Software del servidor de aplicaciones Baolande V9.5
Beijing Baolande Software Corporation
Solicitar
Lámina de silicona termoconductora ABT-CP815
Dongguan Aobote Thermal Technology Co., Ltd.
Solicitar
TWP16 Radar de perfil de viento troposférico en banda P
China Huayun Meteorological Technology Group Co., Ltd.
Solicitar
Xinshiqi Vehículo autónomo X3 con caja de carga
Neolix Beijing Technology Co., Ltd.
Solicitar
Red de área local inalámbrica | Punto de acceso AirEngine 5776-56T
Huawei
Solicitar
Subarray Tx de antena de arreglo en fase banda Ka
COXSAT TECHNOLOGY CO., LTD.
Solicitar
Conmutador rápido de fuente de alimentación redundante QPS-20A
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Solicitar
SIS Soluciones de Instrumentación de Seguridad
Beijing Consen Automation Technology Co., Ltd.
Solicitar
Terminal satelital portátil de placa plana de 0,35 m de diámetro (manual)
China Starwin Science & Technology co., Ltd.
Recomendaciones
Sanofi y Owkin amplían su colaboración en IA para construir agentes inteligentes de desarrollo de fármacos
2026-06-06
Bharti Airtel de India lanza el primer servicio comercial de segmentación 5G para mejorar la experiencia de red en horas punta
2026-06-06
Hensoldt y otros avanzan en las pruebas aéreas del radar Mk.1 del Eurofighter Typhoon
2026-06-06
Liberty Costa Rica despliega red 5G eficiente con Ericsson para mejorar la cobertura nacional
2026-06-06
STT GDC de Singapur obtiene 500 millones de dólares en financiación verde para ampliar su parque de centros de datos en Yakarta, Indonesia
2026-06-06
T-Mobile de EE. UU. inaugura su primer centro global de capacidades en el extranjero en Hyderabad, India
2026-06-06
T-Mobile de EE. UU. lanza Dynamic CX para abordar la congestión de red en grandes eventos con IA
2026-06-06
Celebal de India se asocia con Databricks de EE. UU. para implementar agentes de IA en empresas manufactureras
2026-06-06
Las comunicaciones por satélite se orientan hacia la orquestación en la nube de múltiples órbitas
2026-06-06
Airspan de EE. UU. se une a la alianza europea ARES
2026-06-06
Últimos boletines
1
Sanofi y Owkin amplían su colaboración en IA para construir agentes inteligentes de desarrollo de fármacos
2
Kansas (EE. UU.) asigna casi 80 millones de dólares a 39 instituciones para fortalecer la atención médica rural
3
Universidad de Kyushu (Japón): Precisión del 93% en la evaluación de la regurgitación de la válvula pulmonar con rayos X de 7 segundos
4
Bluejay Diagnostics completa una colocación privada por 8,5 millones de dólares
5
Bharti Airtel de India lanza el primer servicio comercial de segmentación 5G para mejorar la experiencia de red en horas punta
6
Viceministro de Noruega lidera delegación a Grecia para fortalecer la cooperación marítima
7
El Puerto de Amberes-Brujas nombra a Rob Smeets como CEO por un período de seis años
8
Hensoldt y otros avanzan en las pruebas aéreas del radar Mk.1 del Eurofighter Typhoon
9
Los vuelos diarios promedio en aeropuertos no hub sin EAS de EE. UU. cayeron un 19% entre 2018 y 2024
10
Qatar Airways aumenta gradualmente los vuelos Doha-Dubái a 5 diarios