Novo cluster chinês OP-512 ataca servidores IIS da Microsoft

Resumo

Pesquisadores da ReliaQuest identificaram um novo cluster de ameaças vinculado à China, chamado OP-512, que invade servidores Microsoft IIS com um framework de web shells feito sob medida. O grupo usa três web shells diferentes com controle criptográfico de acesso, manipulação de timestamps para confundir investigações e escalada de privilégios via Potato Suite. É o quarto cluster chinês detectado atacando IIS em menos de um ano.

O que é o OP-512

A ReliaQuest batizou o grupo de OP-512 — onde “OP” significa “opponent” (oponente). Trata-se de um cluster de espionagem cibernética previamente desconhecido, avaliado com confiança moderada a alta como vinculado à China. O alvo preferido: servidores Microsoft Internet Information Services (IIS) — o servidor web que ainda roda em milhares de empresas e órgãos públicos em todo o mundo, incluindo o Brasil.

O que torna o OP-512 diferente de outros grupos chineses não é o alvo, mas a sofisticação do ferramental. Em vez de usar web shells genéricos disponíveis em fóruns, o grupo desenvolveu um framework próprio com três web shells, cada um com função específica: gerenciamento de arquivos, execução remota de comandos por dois caminhos independentes e um mecanismo de auto-relatório que informa ao atacante onde o shell foi implantado.

Como o ataque acontece

No incidente documentado pela ReliaQuest, o OP-512 comprometeu um servidor IIS legado rodando Windows Server 2016 com .NET Framework 4.0 — uma versão sem suporte (end-of-life). A sequência do ataque foi:

1. Reconhecimento prévio — cerca de 75 dias antes do ataque principal, o servidor já fazia consultas DNS para um domínio controlado pelo atacante (“ashx.lhlsjcb[.]com”).
2. Implantação do web shell — o atacante usou o processo de trabalho do IIS (“w3wp.exe”) para depositar um dos shells no diretório de upload da aplicação.
3. Auto-relatório — assim que implantado, o shell envia sua localização ao servidor C2 via consulta DNS ou requisição HTTP.
4. Escalada de privilégios — com os três shells ativos, o atacante tentou escalar para nível SYSTEM usando a suíte de exploits Potato.
5. Confirmação de acesso — comandos como “whoami /priv” confirmaram os privilégios máximos no servidor.

A fase crítica — da implantação à escalada — foi descrita como um “sprint”, executada em ritmo acelerado antes que a equipe de segurança pudesse reagir.

Técnicas de evasão

O framework de web shells do OP-512 tem três camadas de proteção contra detecção:

• Timestomping: cada deployment é gerado de forma única. O malware escaneia todos os arquivos e subpastas ao redor do shell, calcula a mediana do timestamp de modificação e sobrescreve seus próprios timestamps para combinar. Resultado: o shell parece estar no servidor há tanto tempo quanto os arquivos legítimos.
• Controle criptográfico de acesso: o acesso ao shell é restrito ao atacante por meio de chaves criptográficas. Mesmo que um pesquisador encontre o shell, não consegue interagir com ele sem a chave.
• Framework único por deployment: cada implantação é gerada individualmente, impossibilitando assinaturas estáticas de detecção.

“Este cluster não usa ferramentas de prateleira recicladas entre campanhas. Usa um framework feito sob medida para derrotar os métodos de detecção que funcionam contra os outros três clusters”, alertou a ReliaQuest em seu relatório.

Por que servidores IIS são alvo

O OP-512 é o quarto cluster vinculado à China a mirar servidores IIS em menos de 12 meses. Antes dele, CL-STA-0048, DragonRank e GhostRedirector já haviam sido documentados fazendo o mesmo. A Cisco Talos também revelou que múltiplos grupos de cibercrime de língua chinesa compartilham uma variante de malware chamada BadIIS para infectar esses servidores. Outro grupo, SHADOW-EARTH-053, foi identificado atacando IIS em campanhas de espionagem chinesa contra setores governamental e de defesa no sul, leste e sudeste asiático.

“Quatro clusters chineses mirando a mesma tecnologia em menos de um ano não é coincidência”, concluiu a ReliaQuest. “Servidores IIS voltados para a internet rodando software legado e sem suporte continuam como ponto de entrada preferido neste ecossistema de ameaças — e não mostram sinais de desaceleração.” Esse padrão é consistente com o que outras APT chinesas vêm fazendo ao explorar dispositivos de borda e servidores desatualizados.

O motivo é simples: IIS é um alvo de alto valor. Muitas organizações mantêm servidores IIS antigos voltados para a internet porque migram sistemas é caro e demorado. Esses servidores frequentemente rodam versões desatualizadas do Windows Server e do .NET Framework, com patches pendentes e configurações padrão. São a combinação perfeita de acessibilidade e vulnerabilidade.

O risco para empresas brasileiras

Servidores IIS ainda são amplamente usados no Brasil, especialmente em órgãos públicos, instituições financeiras e grandes empresas que dependem de sistemas legados em .NET. Um levantamento de fontes de segurança indica que o padrão de ataque do OP-512 é compatível com qualquer servidor IIS desatualizado voltado para a internet.

As ações defensivas concretas são:

1. Atualize servidores IIS: se ainda roda Windows Server 2016 ou anterior com .NET 4.0 ou anterior, priorize a migração. Essas versões não recebem patches de segurança.
2. Monitore processos w3wp.exe: o IIS usa esse processo para executar aplicações web. Atividade incomum de escrita de arquivos por w3wp.exe é um sinal forte de comprometimento.
3. Audite arquivos .aspx e .ashx: web shells em IIS são tipicamente arquivos ASPX ou ASHX. Verifique se não existem arquivos desconhecidos nos diretórios de aplicação web.
4. Bloqueie domínios suspeitos: o domínio “ashx.lhlsjcb[.]com” e variações associadas ao OP-512 devem ser bloqueados no DNS.
5. Revise timestamps de arquivos: se arquivos em diretórios web têm timestamps idênticos ao de arquivos legítimos, investigue. Pode ser timestomping.
6. Restrinja privilégios do IIS: o Potato Suite explora configurações permissivas para escalar a SYSTEM. Quanto menos privilégios o processo do IIS tiver, menor o dano.

O cenário maior

O OP-512 é sintoma de uma tendência mais ampla. Grupos de espionagem estatais estão profissionalizando suas operações contra servidores web, e o IIS — pela sua base instalada em organizações governamentais e corporativas — é um alvo irresistível. A combinação de framework personalizado, evasão sofisticada e velocidade de execução coloca os defensores em desvantagem.

A mensagem da ReliaQuest é direta: “Organizações que ajustaram suas defesas para atores conhecidos provavelmente não estão cobertas aqui.” Em outras palavras, assinaturas de detecção baseadas em ameaças anteriores não funcionam contra o OP-512. É preciso monitorar comportamento — não apenas assinaturas.

Para o ecossistema de segurança brasileiro, a lição é clara: se sua organização ainda mantém servidores IIS legados voltados para a internet, o relógio está correndo. Não é mais uma questão de se serão atacados, mas de quando.

Referências

• The Hacker News — New Threat Cluster OP-512 Targets Microsoft IIS Servers with Custom Web Shell Framework (5 jun 2026)
• ReliaQuest — Threat Research: OP-512 threat cluster analysis (jun 2026)
• SC Media — New China-linked threat cluster OP-512 targets Microsoft IIS servers (jun 2026)
• Cisco Talos — From PDB Strings to MaaS: Tracking a Commodity BadIIS Ecosystem (2025)