Auf den Punkt: OP-512 ist bereits die vierte China-nahe Gruppe in 12 Monaten, die IIS-Server angreift und dabei drei proprietäre Web-Shells mit kryptografischen Kontrollen und automatisierter Rückmeldefunktion einsetzt.
Die Cybersicherheitsfirma ReliaQuest hat die Spionagegruppe OP-512 identifiziert, die gezielt Microsoft IIS-Webserver attackiert und dafür ein maßgeschneidertes Web-Shell-Framework mit Timestomping-Funktionen einsetzt. Die Angreifer werden mit hoher Wahrscheinlichkeit chinesischen Geheimdiensten zugeordnet.
ReliaQuest ordnet die Spionageaktivitäten der Gruppe OP-512 mit mittlerer bis hoher Konfidenz staatlichen chinesischen Akteuren zu. Das Unternehmen dokumentierte, dass OP-512 einen kompromittierten IIS-Webserver bei einer Organisation attackierte, deren Sektor und geografischer Standort mit bekannten chinesischen Geheimdienstzielen übereinstimmen. OP-512 ist bereits die vierte bekannte Spionagegruppe mit vermutlichem China-Bezug innerhalb von zwölf Monaten, die gezielt auf IIS-Infrastrukturen abzielt – neben den Clustern CL-STA-0048, DragonRank und GhostRedirector.
Das Kernstück der Operationen bildet ein proprietäres Schadsoftware-Framework aus drei spezifischen Web-Shells, das den Angreifern persistenten Fernzugriff auf kompromittierte Systeme verschafft. Um signaturbasierte Erkennung zu umgehen und die forensische Analyse zu erschweren, nutzt OP-512 Timestomping: Die Malware scannt alle Dateien und Unterordner am Ablageort, berechnet den Median des letzten Änderungsdatums und überschreibt damit ihre eigenen Zeitstempel. ReliaQuest beobachtete, dass jede Bereitstellung des Frameworks einzigartig generiert wird, der Zugriff durch kryptografische Kontrollen auf die Angreifer beschränkt ist und kompromittierte Server sich automatisch bei einer zentralisierten Verwaltungsinfrastruktur anmelden.
Bei einem dokumentierten Angriff zielte die Gruppe auf einen veralteten IIS-Server unter Windows Server 2016 mit dem nicht mehr unterstützten .NET Framework 4.0 ab. Die Angreifer nutzten den legitimen IIS-Arbeitsprozess w3wp.exe, um eine Web-Shell im Upload-Verzeichnis der Anwendung abzulegen. Unmittelbar danach löste das System einen automatischen Rückmeldemechanismus aus, der den exakten Pfad der Web-Shell via DNS-Abfrage oder HTTP-Anfrage an einen von OP-512 kontrollierten Server übermittelte – noch bevor Verteidiger reagieren konnten.
Die drei Web-Shells des Frameworks gewährten dem Angreifer zusammengenommen Dateiverwaltungsfunktionen, authentifizierte Befehlsausführung über zwei unabhängige Zugriffspfade und automatisierte Rückmeldeberichte. Nach der erfolgreichen Platzierung versuchte OP-512, Systemrechte mithilfe der sogenannten Potato Suite auf das SYSTEM-Level anzuheben, was anschließend mit dem Befehl whoami /priv überprüft wurde.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.