Ingenieros de Palo Alto Networks descubren campaña de Gold Melody que explota claves ASP.NET filtradas

Diego Cortes R. miércoles, julio 09, 2025Compartir:

 


Una investigación reciente ha revelado una sofisticada campaña de intrusión llevada a cabo por el grupo de amenazas persistentes avanzadas conocido como Gold Melody (también identificado como UNC961 o Prophet Spider). Este grupo, con historial de actividad desde al menos 2017, ha estado explotando claves machineKey filtradas de aplicaciones ASP.NET para ejecutar ataques de deserialización y obtener acceso no autorizado a servidores web.

El vector de ataque: claves machineKey expuestas

El ataque se basa en el abuso del mecanismo de ViewState en aplicaciones ASP.NET. Al obtener claves machineKey filtradas —ya sea por errores de configuración, repositorios públicos o fugas anteriores— los atacantes pueden firmar cargas maliciosas que son aceptadas como legítimas por el servidor. Esto les permite ejecutar código arbitrario directamente en memoria, sin necesidad de escribir archivos en disco, lo que complica enormemente su detección.

Herramientas y tácticas observadas

Durante la campaña, Gold Melody ha utilizado una combinación de herramientas personalizadas y de código abierto, incluyendo:

  • Godzilla: un framework de post-explotación ampliamente utilizado en entornos web comprometidos.
  • updf: una herramienta en C# desarrollada por el grupo para escalar privilegios localmente.
  • TxPortMap: utilidad para escaneo de puertos y movimiento lateral.
  • Técnicas de evasión que incluyen la ejecución en memoria (fileless) y el uso de procesos legítimos como w3wp.exe (IIS Worker Process).

Sectores afectados

Los ataques han sido dirigidos principalmente a organizaciones en Estados Unidos y Europa, abarcando sectores como:

  • Servicios financieros
  • Manufactura
  • Alta tecnología
  • Transporte y logística

No se descarta que actores secundarios estén adquiriendo el acceso inicial proporcionado por Gold Melody para desplegar ransomware u otras amenazas persistentes.

Dificultades en la detección

Uno de los aspectos más preocupantes de esta campaña es su bajo perfil en términos forenses. Al no dejar archivos en disco y operar completamente en memoria, los mecanismos tradicionales de antivirus y EDR tienen dificultades para identificar la actividad maliciosa. Entre los indicadores de compromiso más relevantes se encuentran:

  • Procesos hijos anómalos de w3wp.exe
  • Uso inusual de herramientas como aspnet_compiler.exe o csc.exe
  • Cambios repentinos en el comportamiento de aplicaciones .NET
  • Peticiones HTTP con ViewState sospechosamente grandes o firmados con claves conocidas

Recomendaciones para mitigación

Para protegerse frente a este tipo de ataques, se recomienda:

  • Rotar periódicamente las claves machineKey y evitar su exposición en repositorios públicos.
  • Deshabilitar la deserialización de ViewState si no es estrictamente necesaria.
  • Implementar ViewStateUserKey para vincular la firma del ViewState a la sesión del usuario.
  • Configurar reglas de detección en SIEM y EDR para identificar comportamientos anómalos en procesos IIS.
  • Aplicar parches de seguridad y mantener una política de hardening en servidores Windows con IIS.
Fuente: https://unit42.paloaltonetworks.com/initial-access-broker-exploits-leaked-machine-keys/

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!