Web Shell

Grupo de espionagem cibernética OP-512 visa servidores IIS da Microsoft

Pesquisadores de cibersegurança identificaram um novo grupo de ameaças, denominado OP-512, que tem como alvo servidores Microsoft Internet Information Services (IIS) para implantar um framework de web shell personalizado. A ReliaQuest, empresa que analisou a atividade, acredita que essa operação de espionagem está ligada à China. O grupo OP-512 é o quarto a focar em servidores IIS nos últimos 12 meses, seguindo outros grupos como CL-STA-0048 e DragonRank. O framework utilizado pelo OP-512 é sofisticado, consistindo em três web shells que permitem acesso remoto ao servidor comprometido, além de técnicas para evitar a detecção e manipular os registros de tempo dos arquivos. Recentemente, o grupo atacou um servidor IIS legado rodando Windows Server 2016, utilizando um processo de trabalho para implantar um dos web shells. A operação foi rápida e eficiente, permitindo que o atacante escalasse privilégios e executasse comandos antes que a defesa pudesse reagir. A ReliaQuest alerta que a combinação de ferramentas personalizadas e a falta de sobreposição com outros grupos conhecidos tornam o OP-512 uma ameaça significativa para organizações que utilizam servidores IIS desatualizados.

Mais de 900 instâncias do FreePBX infectadas por web shells

A Shadowserver Foundation revelou que mais de 900 instâncias do Sangoma FreePBX estão infectadas com web shells, resultado de ataques que exploraram uma vulnerabilidade de injeção de comando, identificada como CVE-2025-64328, com uma pontuação CVSS de 8.6. Essa falha de segurança, que permite a execução de comandos arbitrários por usuários com acesso ao painel de administração do FreePBX, foi descoberta em dezembro de 2025 e afeta versões do FreePBX a partir da 17.0.2.36. A vulnerabilidade foi corrigida na versão 17.0.3. Entre as instâncias comprometidas, 401 estão localizadas nos Estados Unidos e 51 no Brasil. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) devido à sua exploração ativa. A Fortinet FortiGuard Labs também relatou que um grupo de atacantes, conhecido como INJ3CTOR3, está utilizando essa vulnerabilidade para implantar um web shell chamado EncystPHP, que permite a execução de comandos com privilégios elevados e a realização de chamadas externas através do ambiente PBX. Os usuários do FreePBX são aconselhados a atualizar suas implementações para a versão mais recente para mitigar os riscos associados a essa ameaça.