ReliaQuest Agentic AI SOC상관관계 분석이 중국 연계 IIS 스파이활동 클러스터 OP-512 적발 — AI 보조 위협 탐지의 증명 사례

ReliaQuest는 6월 5일 위협 스포트라이트를 발표했으며, 자신의 agentic AI가 분산된 관련성 없어 보이는 엔드포인트 및 네트워크 원격 측정을 상관관계 분석하여 수명이 다한 .NET Framework 4.0을 실행하는 인터넷 연결 Microsoft IIS 서버를 대상으로 하는 중국 연계 스파이활동 클러스터(OP-512)를 식별하고 상향 보고했음을 문서화했습니다. 공격자는 배포별 암호화 고유성, 암호화된 명령 채널, 반사식 로딩, 타임스탐핑 및 배포된 URL의 DNS 기반 자체 보고를 갖춘 3개의 커스텀 웹 쉘을 배포했습니다. 탐지는 서명이 아닌 w3wp.exe DNS 쿼리 및 ASP.NET 임시 컴파일 경로의 행동 신호에 의존했습니다.

이는 agentic AI가 일반적인 SOC 거주 시간의 인간 분석가가 놓쳤을 다중 신호 이벤트 상관관계 분석을 수행하는 기록된 프로덕션 인스턴스입니다 — 단순 요약이 아닙니다. AI 보조 SOC 도구를 평가하는 보안 팀의 경우, 이는 탐지 가치와 거버넌스 요구사항을 모두 보여줍니다: AI 상관관계 분석은 상향 보고 전에 설명 가능한 증거 추적 및 인간 검증과 함께 진행되어야 합니다. 동일한 신뢰도가 실제 위협을 적발할 수 있는 만큼 인간 검토에서 약한 증거를 억제할 수도 있기 때문입니다.

SOC 팀 및 MDR 구매자는 AI 상관관계 분석 도구가 설명 가능한 증거 추적을 생성하는지 평가해야 합니다. IIS 환경을 처리하는 IR 팀은 OP-512 행동 탐지(w3wp.exe 16진수 인코딩 DNS 쿼리, 비정상 .ashx 응답)를 구현해야 합니다. 인프라 팀은 EoL .NET Framework 4.0 호스트를 감사하고 폐기해야 합니다.