Un grupo de ciberdelincuentes identificado como OP-512 ha puesto en el punto de mira los servidores Microsoft IIS. Utilizan un marco personalizado de web shells, permitiendo a los atacantes tomar el control remoto de los sistemas. La operación se caracteriza por su sigilo y por explotar vulnerabilidades conocidas en aplicaciones web. Se recomienda a los administradores revisar los registros de acceso y actualizar sus sistemas para mitigar el riesgo de compromiso.
Análisis técnico del marco de web shells 🛡️
El marco de OP-512 despliega módulos de web shell en lenguajes como ASPX y PowerShell. Estos módulos establecen conexiones cifradas con servidores de mando y control, evadiendo sistemas de detección básicos. Una vez dentro, los atacantes ejecutan comandos, exfiltran datos y despliegan cargas adicionales de malware. La modularidad del marco permite a OP-512 adaptar sus ataques según la configuración del servidor IIS objetivo, lo que complica la creación de firmas de detección universales.
La web shell: el Airbnb de los ciberdelincuentes 🏠
OP-512 ha encontrado en las web shells el equivalente digital a dejar la puerta de casa abierta. Solo que aquí, en lugar de okupas, entran scripts maliciosos que se instalan como si fueran de la familia. Los administradores se preguntan: ¿alguien pidió pizza? Porque estos atacantes ya se instalaron en el servidor y hasta cambiaron la contraseña del wifi. Lo peor es que no avisan cuando se van.