何が起きたか
ReliaQuestは6月5日に脅威スポットライトを公開し、そのagentic AIが分散した一見無関係なエンドポイントおよびネットワークテレメトリを相関させて、エンドオブライフの.NET Framework 4.0を実行するインターネット向きMicrosoft IISサーバーをターゲットとする中国関連スパイ活動クラスター(OP-512)を特定して通知したことを記録しました。攻撃者は展開ごとの暗号学的一意性、暗号化されたコマンドチャネル、反射的な読み込み、タイムスタンプ改ざん、およびDNSベースの展開URL自己報告を備えた3つのカスタムウェブシェルをデプロイしました。検出はシグネチャではなく、w3wp.exeのDNSクエリおよびASP.NETテンポラリコンパイルパスからの動作シグナルに依存していました。
なぜ重要か
これは、典型的なSOC滞在時間の人間分析者が見逃したであろう多信号イベント相関を実行するagentic AIの文書化された本番インスタンスです — 単なる要約ではありません。AI支援型SOCツールを評価しているセキュリティチームにとって、これは検出値とガバナンス要件の両方を示しています。AI相関は、エスカレーション前に説明可能な証拠追跡と人間による検証と組み合わせる必要があります。実際の脅威を露呈させるのと同じ確実性が、人間によるレビューからの弱い証拠を抑制することもできるためです。
適用範囲
SOCチームとMDR購入者は、AI相関ツールが説明可能な証拠追跡を生成するかどうか評価する必要があります。IIS環境を扱うIRチームはOP-512動作検出(w3wp.exeの16進エンコードされたDNSクエリ、異常な.ashxレスポンス)を実装する必要があります。インフラストラクチャチームはEoL .NET Framework 4.0ホストを監査して廃止する必要があります。