Exploits "Patata" en servidores corporativos: todo lo que debes saber sobre el nuevo grupo chino de ciberespionaje OP-512
Hackers chinos planearon durante meses un ataque contra infraestructuras obsoletas.
Un servidor web antiguo puede parecer durante meses una parte normal de la infraestructura, mientras los atacantes preparan en silencio a través de él el acceso a la red interna. Este fue precisamente el caso que la empresa describió ReliaQuest, que descubrió el nuevo presunto grupo de ciberespionaje chino OP-512.
Según ReliaQuest, OP-512 está vinculada con China con una confianza moderadamente alta. El grupo se infiltró en un servidor de Internet Information Services que ejecutaba Windows Server 2016 y la obsoleta plataforma .NET Framework 4.0. El soporte de esa versión finalizó en 2016, por lo que el servidor seguía siendo un objetivo conveniente para el ataque.
La característica principal de la operación fue un conjunto propio de web shells. Esos archivos maliciosos permiten a los atacantes controlar el servidor a través del navegador. OP-512 utilizó tres web shells diferentes, y cada implementación se creó de forma única desde el punto de vista criptográfico. Por eso es difícil detectar estos archivos por firmas: cada nuevo archivo se ve distinto.
La primera web shell funcionaba como gestor de archivos y señalaba a los atacantes su ubicación. Al abrir la página, codificaba su dirección y la enviaba mediante una petición al dominio de los atacantes. Si ese método fallaba, se usaba un canal de respaldo mediante una petición HTTP a un servidor de mando y control independiente.
Las otras dos web shells se encargaban de ejecutar comandos. Antes de ejecutar una orden, descifraban la petición, verificaban la firma digital y funcionaban solo si se disponía de la clave correcta. Ese esquema limitaba el acceso incluso dentro de la propia operación: una clave no permitía controlar todos los componentes instalados.
Las señales de actividad en el servidor se detectaron hasta 75 días antes de la fase principal del ataque. Más adelante los atacantes regresaron y en cuestión de horas desplegaron las web shells, establecieron varios canales de mando y control e intentaron elevar privilegios en el sistema. Para ello usaron herramientas BadPotato, SweetPotato y EfsPotato, que aprovechan características de Windows para obtener privilegios más altos.
La protección del endpoint detuvo el proceso malicioso, pero el ataque no se detuvo. IIS reinicia automáticamente los procesos de trabajo tras un fallo o terminación, por lo que las herramientas de los atacantes se volvían a cargar en memoria. ReliaQuest indica que la simple finalización del proceso sin aislar el servidor creó un ciclo en el que la protección actuaba una y otra vez, y la actividad continuó.
Un problema adicional lo causaron los archivos temporales de ASP.NET. Cuando los archivos maliciosos se ejecutaban por primera vez, la plataforma los compilaba en bibliotecas DLL y las guardaba en disco. Esas bibliotecas pueden permanecer incluso después de eliminar las web shells originales, por lo que al investigar un incidente hay que revisar y limpiar los directorios temporales de compilación de ASP.NET.
OP-512 también intentó ocultar la hora de aparición de los archivos. Las web shells examinaban archivos vecinos y falseaban sus propias fechas de creación y modificación para no destacar frente al contenido antiguo del servidor. Esta técnica dificulta la búsqueda sencilla de archivos sospechosos por fecha de modificación.
ReliaQuest considera que OP-512 es al menos el cuarto grupo o clúster chino que en el último año atacó servidores IIS obsoletos. Al mismo tiempo, OP-512 no coincide con las operaciones ya conocidas CL-STA-0048, GhostRedirector y DragonRank. Hay coincidencias en técnicas aisladas, pero el conjunto de herramientas, la infraestructura y los objetivos difieren.
La compañía advierte que las organizaciones con versiones obsoletas de .NET Framework en servidores accesibles desde Internet deben acelerar la migración o, al menos, aislar esos sistemas. Debe prestarse especial atención a los directorios de carga de archivos, a los directorios temporales de ASP.NET, a consultas DNS inusuales desde procesos de IIS y al lanzamiento de la línea de comandos desde el proceso del servidor web.
Según ReliaQuest, es probable que los ataques contra la antigua infraestructura de IIS continúen en 2026 y 2027 mientras esos servidores sigan siendo accesibles desde Internet. Para la defensa ya no bastan las reglas para grupos conocidos: OP-512 demuestra que las nuevas operaciones pueden cambiar rápidamente sus herramientas y eludir los métodos habituales de detección.