Onderzoekers hebben een nieuwe, voorheen onbekende dreigingscluster genaamd OP-512 geïdentificeerd die zich richt op Microsoft Internet Information Services (IIS) servers. Deze groep gebruikt een speciaal ontwikkeld web shell framework om toegang te krijgen tot de servers en spionageactiviteiten uit te voeren. Volgens ReliaQuest is er met matige tot hoge zekerheid een verband met China, waarbij de aanvallen gericht zijn op organisaties die aansluiten bij Chinese inlichtingenprioriteiten.

Hoewel OP-512 geen directe overlap vertoont met andere bekende China-gerelateerde groepen, is het de vierde groep in het afgelopen jaar die zich specifiek op IIS-webservers richt, na onder andere CL-STA-0048, DragonRank en GhostRedirector. Ook andere China-sprekende cybercriminelen verspreiden varianten van malware zoals BadIIS om IIS-servers te infecteren, zoals recent door Cisco Talos werd gemeld. Daarnaast zijn IIS-servers doelwit van SHADOW-EARTH-053 in een spionagecampagne gericht op overheids- en defensiesectoren in Zuid-, Oost- en Zuidoost-Azië.

Het web shell framework van OP-512 bestaat uit drie web shells die de aanvallers volledige controle geven over de geïnfecteerde systemen. Deze web shells zijn ontworpen om detectie te ontwijken en het forensisch onderzoek te bemoeilijken door middel van technieken zoals timestomping. Hierbij worden de aanmaak- en wijzigingstijdstempels van de web shell bestanden aangepast aan de mediane tijdstempels van omliggende bestanden, waardoor het lijkt alsof de web shells al langere tijd aanwezig zijn.

ReliaQuest benadrukt dat dit framework unieke kenmerken combineert: elke implementatie is uniek, toegang wordt cryptografisch beperkt tot de aanvaller en geïnfecteerde servers rapporteren automatisch terug voor gecentraliseerd beheer op grote schaal. OP-512 vertoont tactische overeenkomsten met CL-STA-0048, wat suggereert dat het mogelijk een bestaande groep is die zijn toolset volledig vernieuwd heeft, of dat het een onafhankelijke ontwikkeling betreft. De groep opereert autonoom en wordt als een aparte cluster beschouwd.

In een geobserveerde aanval richtte OP-512 zich op een verouderde IIS-server met Windows Server 2016 en een end-of-life .NET Framework 4.0. Er zijn aanwijzingen voor eerdere activiteit op dezelfde host, ongeveer 75 dagen voor het hoofdincident, waaronder DNS-query’s naar een door de aanvaller gecontroleerd domein. De aanval zelf verliep snel, waarbij de webserverproces (w3wp.exe) werd gebruikt om een web shell te plaatsen in de uploadmap van de applicatie. Deze web shell activeerde een zelfrapportagemechanisme dat via DNS-query’s of HTTP-verzoeken de locatie van de web shell doorgeeft aan een aanvallersdomein.

De drie web shells samen gaven de aanvaller bestandsbeheer, geauthenticeerde commando-uitvoering via twee onafhankelijke toegangswegen en automatische rapportage van de compromittering, nog voordat er gereageerd kon worden. Na plaatsing probeerde OP-512 privileges te escaleren naar het SYSTEM-niveau met behulp van de Potato Suite en controleerde de rechten met commando’s als "whoami /priv". Het feit dat vier China-gerelateerde clusters binnen een jaar dezelfde technologie aanvallen, wijst op een gerichte strategie.