ReliaQuest descubre el clúster OP-512 dirigido a servidores IIS

La empresa ReliaQuest ha revelado un clúster de amenazas previamente desconocido bajo la denominación OP-512, dirigido a servidores Microsoft Internet Information Services (IIS). El grupo emplea un framework especialmente desarrollado compuesto por tres web shells, que proporciona acceso remoto, gestión de archivos y notificación automática a los atacantes sobre nuevos compromisos de sistemas. El objetivo principal es el espionaje. El mayor riesgo recae en las organizaciones que explotan versiones obsoletas de IIS sobre software sin soporte, en particular Windows Server 2016 con .NET Framework 4.0.

Detalles técnicos del framework

El núcleo de las operaciones de OP-512 es un framework personalizado que incluye tres web shells con separación de funciones. Según los investigadores, juntos proporcionan:

• Gestión de archivos en el host comprometido
• Ejecución autenticada de comandos a través de dos rutas de acceso independientes
• Notificación automática a la infraestructura de ataque sobre el hecho de la compromisión

Cada despliegue, según se indica, se genera de forma única, y el acceso a los web shells está restringido mediante medios criptográficos: sólo el operador puede interactuar con los componentes instalados. Los servidores comprometidos se «reportan» automáticamente ante una infraestructura centralizada de gestión, lo que permite escalar las operaciones.

Cronología del ataque observado

En el incidente registrado, el objetivo fue un servidor IIS obsoleto basado en Windows Server 2016 con .NET Framework 4.0, que ya no recibe actualizaciones de seguridad. Aproximadamente 75 días antes del incidente principal, en el mismo host se observaron solicitudes DNS al dominio controlado por los atacantes: ashx.lhlsjcb[.]com.

Unas semanas más tarde siguió una fase de ataque rápida. El atacante utilizó el proceso de trabajo de IIS (w3wp.exe) para alojar uno de los web shells en el directorio de carga de la aplicación. Inmediatamente después del despliegue, se activó el mecanismo de auto-notificación: el web shell envió una consulta DNS (con una solicitud HTTP como canal de respaldo), transmitiendo su ubicación al dominio de los atacantes.

Evasión de detección: timestomping avanzado

El framework aplica la técnica de timestomping (T1099 según MITRE ATT&CK) con una implementación poco trivial. En lugar de establecer marcas de tiempo arbitrarias, el algoritmo escanea todos los archivos y subdirectorios en el entorno donde se alojan los web shells, calcula el valor mediano de la marca de tiempo de la última modificación y sobrescribe la hora de creación y modificación de los artefactos con ese valor. Como resultado, los web shells parecen haber existido en el servidor durante un largo periodo, lo que dificulta considerablemente la labor forense y el análisis cronológico del incidente.

Escalada de privilegios

Tras lograr persistencia, OP-512 intentó elevar privilegios hasta el nivel SYSTEM utilizando Potato Suite, una familia de técnicas conocidas de explotación de tokens de Windows. Para confirmar los privilegios obtenidos se ejecutó el comando whoami /priv.

Contexto de la amenaza: IIS como objetivo sistémico

Según ReliaQuest, OP-512 se ha convertido en el cuarto clúster de amenazas, después de CL-STA-0048, DragonRank y GhostRedirector, que ataca de forma dirigida servidores IIS en los últimos 12 meses. Al mismo tiempo, los investigadores no han detectado solapamientos directos entre el conjunto de herramientas de OP-512 y el de otros grupos conocidos, aunque se observa una cercanía táctica con CL-STA-0048. Esto da lugar a dos hipótesis: o bien OP-512 representa un clúster existente que ha renovado completamente su arsenal, o bien se trata de un grupo independiente que ha desarrollado de forma autónoma capacidades similares.

Aclaración importante: la atribución de OP-512 y las conclusiones sobre su posible vínculo con un Estado concreto se basan en la evaluación de una única fuente de investigación y no han sido corroboradas de forma independiente. No obstante, el propio hecho de que varios clústeres se concentren en la misma tecnología en un periodo breve merece la atención de los defensores.

La diferencia clave de OP-512 respecto a clústeres afines es el rechazo de herramientas de uso masivo. El framework está diseñado para evadir precisamente aquellos métodos de detección que resultan eficaces contra los otros tres grupos. Es probable que las organizaciones que han ajustado su defensa frente a los clústeres conocidos sigan siendo vulnerables ante OP-512.

Evaluación del impacto

Corren un mayor riesgo las organizaciones que explotan servidores IIS con acceso desde internet sobre plataformas obsoletas, en primer lugar Windows Server 2016 y versiones anteriores con componentes .NET Framework sin soporte. La combinación de protección criptográfica del acceso a los web shells, generación única de cada despliegue y notificación automatizada hace que su detección mediante medios estándar basados en firmas sea extremadamente difícil. Una compromisión exitosa otorga al atacante control total sobre el servidor, con la posibilidad de mantener una presencia sigilosa prolongada.

Recomendaciones prácticas

• Auditoría de servidores IIS: realice un inventario de todos los servidores IIS con acceso desde internet. Identifique las instancias en Windows Server 2016 y versiones anteriores, así como aquellas con versiones obsoletas de .NET Framework.
• Migración desde plataformas obsoletas: los servidores que se ejecutan sobre software sin soporte deben actualizarse con prioridad o retirarse de servicio. Si la migración no es posible a corto plazo, aíslelos en un segmento de red separado con monitorización reforzada.
• Monitorización de timestomping: implemente control de integridad de archivos (FIM) en los directorios de aplicaciones web de IIS. Preste atención a anomalías: archivos con marcas de tiempo que coinciden con la mediana de los archivos circundantes, pero que no se corresponden con los registros de creación.
• Control del proceso w3wp.exe: configure alertas sobre la creación de archivos por el proceso de trabajo de IIS en los directorios de carga, especialmente archivos con extensiones .aspx y .ashx.
• Monitorización DNS: añada el dominio ashx.lhlsjcb[.]com a las listas de bloqueo y revise los registros DNS históricos en busca de consultas hacia él.
• Detección de Potato Suite: supervise patrones característicos de escalada de privilegios mediante manipulaciones con tokens, así como la ejecución de whoami /priv en el contexto de procesos de IIS.
• Revisión de reglas basadas en firmas: es probable que las reglas de detección existentes, ajustadas a clústeres conocidos (CL-STA-0048, DragonRank, GhostRedirector), no sean eficaces frente a OP-512. Complételas con detecciones basadas en comportamiento.

La concentración de varios clústeres independientes en servidores IIS durante el último año apunta a un problema sistémico: los servidores obsoletos con acceso desde internet siguen siendo un vector de entrada atractivo. La acción prioritaria para los defensores es la inventarización inmediata y la retirada de servicio o aislamiento de las instancias IIS obsoletas, complementada con una monitorización basada en comportamiento del proceso w3wp.exe y control de integridad de archivos en los directorios de aplicaciones web.