El corredor de acceso inicial (IAB) conocido como Melodía de oro se ha atribuido a una campaña que explotó las claves de la máquina ASP.NET para obtener acceso no autorizado a las organizaciones y vende que el acceso a otros actores de amenazas.
La actividad está siendo rastreada por la Unidad 42 de Palo Alto Networks bajo el apodo TGR-CRI-0045donde «TGR» significa «Grupo temporal» y «CRI» se refiere a la motivación criminal. El grupo de piratería también se conoce como Profet Spider y UNC961, con una de sus herramientas también utilizadas por un corredor de acceso inicial llamado Tymaker.
«El grupo parece seguir un enfoque oportunista, pero ha atacado a las organizaciones en Europa y los Estados Unidos en las siguientes industrias: servicios financieros, fabricación, mayorista y minorista, alta tecnología y transporte y logística», dijeron los investigadores Tom Marsden y Chica García.
El abuso de las claves de la máquina ASP.NET en la naturaleza fue documentado por primera vez por Microsoft en febrero de 2025, y la compañía señaló que había identificado más de 3.000 de tales claves divulgadas públicamente que podrían ser armadas para ataques de inyección de código ViewState, lo que ha llevado a la ejecución de código arbitraria.
El primer signo de estos ataques fue detectado por el fabricante de Windows en diciembre de 2024, cuando un adversario desconocido aprovechó una clave de máquina ASP.NET estática disponible públicamente para inyectar código malicioso y entregar el marco de Godzilla después de la explotación.
El análisis de la Unidad 42 muestra que el TGR-CRI-0045 está siguiendo un modus operandi similar, empleando las claves filtradas para firmar cargas útiles maliciosas que proporcionan acceso no autorizado a los servidores específicos, una técnica conocida como ASP.NET ViewState Deserialización.
«Esta técnica permitió al IAB ejecutar cargas útiles maliciosas directamente en la memoria del servidor, minimizando su presencia en disco y dejando pocos artefactos forenses, haciendo que la detección sea más desafiante», dijo la compañía de seguridad cibernética, y agregó evidencia de la explotación más temprana en octubre de 2024.
A diferencia de los implantes de shell web tradicionales o las cargas útiles basadas en archivos, este enfoque residente de la memoria evita muchas soluciones EDR heredadas que se basan en el sistema de archivos o los artefactos de los árboles de procesos. Las organizaciones que dependen únicamente del monitoreo de la integridad de archivos o las firmas de antivirus pueden perder por completo la intrusión, lo que hace que sea crítico implementar detecciones de comportamiento basadas en patrones de solicitud de IIS anómalo, procesos infantiles generados por W3WP.EXE o cambios repentinos en el comportamiento de la aplicación .NET.
Se dice que se detectó un aumento significativo en la actividad entre finales de enero y marzo de 2025, durante el cual los ataques condujeron a la implementación de herramientas posteriores a la explotación, como escáneres de puertos de código abierto y programas de C# a medida como UPDF para la escalada de privilegios locales.
En al menos dos incidentes observados por la Unidad 42, los ataques se caracterizan por la ejecución del shell de comandos que se originan en servidores web de Servicios de Información de Internet (IIS). Otro aspecto notable es el uso probable de un generador de carga útil .NET de código abierto llamado ysoserial.net y el complemento ViewState para construir las cargas útiles.
Estas cargas útiles omiten las protecciones de ViewState y activan la ejecución de un ensamblaje de .NET en la memoria. Se han identificado cinco módulos II diferentes como cargados en la memoria hasta ahora –
- CMD /C, que se utiliza para pasar un comando que se ejecutará en el shell de comando del sistema y ejecute instrucciones arbitrarias en el servidor
- Carga de archivo, que permite cargar archivos en el servidor especificando una ruta de archivo de destino y un búfer de byte que contiene el contenido del archivo
- Ganador, que probablemente sea un cheque para una explotación exitosa
- Descarga de archivo (no recuperado), que parece ser un descargador que permite a un atacante recuperar datos confidenciales del servidor comprometido
- Cargador reflectante (no recuperado), que aparentemente actúa como un cargador reflectante para cargar dinámicamente y ejecutar ensamblajes de .NET adicionales en la memoria sin dejar un sendero
«Entre octubre de 2024 y enero de 2025, la actividad del actor de amenaza se centró principalmente en explotar sistemas, implementar módulos, como el verificador de exploit, y realizar un reconocimiento básico de shell», dijo la Unidad 42. «La actividad posterior a la explotación ha involucrado principalmente el reconocimiento del huésped comprometido y la red circundante».
Algunas de las otras herramientas descargadas en los sistemas incluyen un binario ELF llamado ATM de un servidor externo («195.123.240 (.) 233: 443») y un escáner de puerto de Golang llamado TXPortMap para mapear la red interna e identificar posibles objetivos de explotación.
«TGR-CRI-0045 utiliza un enfoque simplista para ver la explotación de State, cargando un solo ensamblaje apátrate directamente», señalaron los investigadores. «Cada ejecución de comando requiere una reexplotación y volver a cargar el ensamblaje (por ejemplo, ejecutar el ensamblaje de carga de archivo varias veces)».
«Explotar las vulnerabilidades de deserialización del estado ASP.Net Vista a través de las claves de la máquina expuesta permite una presencia mínima en disco y permite un acceso a largo plazo. La orientación oportunista del grupo y el desarrollo de herramientas continuas resaltan la necesidad de que las organizaciones prioricen la identificación y la remediación de las claves de la máquina comprometida».
Esta campaña también destaca una categoría más amplia de amenazas de exposición a la clave criptográfica, incluidas las políticas de generación de máquina de ames de máquina débil, la validación de Mac faltante y los valores predeterminados inseguros en aplicaciones ASP.NET anteriores. La expansión de los modelos de amenaza interna para incluir riesgos de integridad criptográfica, la manipulación de MacState Mac y el abuso de middleware de IIS puede ayudar a las organizaciones a construir estrategias de protección de identidad y APPSEC más resistentes.