Apa yang terjadi
ReliaQuest menerbitkan threat spotlight pada 5 Juni yang mendokumentasikan bahwa agentic AI-nya mengkorelasikan telemetri endpoint dan jaringan yang tersebar dan tampaknya tidak terkait untuk mengidentifikasi dan meningkatkan eskalasi cluster spionase yang terkait dengan China (OP-512) yang menargetkan server Microsoft IIS yang menghadap internet menjalankan .NET Framework 4.0 yang sudah end-of-life. Penyerang menerapkan tiga web shell kustom dengan keunikan kriptografi per-deployment, saluran perintah terenkripsi, reflective loading, timestomping, dan pelaporan diri berbasis DNS dari URL yang dijalankan. Deteksi bergantung pada sinyal perilaku dari query DNS w3wp.exe dan jalur kompilasi sementara ASP.NET, bukan signature.
Mengapa penting
Ini adalah instansi produksi yang terdokumentasi dari agentic AI yang melakukan korelasi event multi-signal yang akan terlewatkan oleh analis manusia pada dwell time SOC tipikal — bukan hanya ringkasan. Untuk tim keamanan yang mengevaluasi tools SOC berbantuan AI, hal ini mengilustrasikan nilai deteksi dan persyaratan governance: korelasi AI harus dipasangkan dengan jejak bukti yang dapat dijelaskan dan validasi manusia sebelum eskalasi, karena kepercayaan diri yang sama yang memunculkan ancaman nyata juga dapat menekan bukti lemah dari tinjauan manusia.
Cakupan penerapan
Tim SOC dan pembeli MDR harus mengevaluasi apakah tools korelasi AI mereka menghasilkan jejak bukti yang dapat dijelaskan; tim IR yang menangani lingkungan IIS harus mengimplementasikan deteksi perilaku OP-512 (query DNS w3wp.exe hex-encoded, respons .ashx anomali); tim infrastruktur harus mengaudit dan menonaktifkan host .NET Framework 4.0 EoL.