Apa yang terjadi
ReliaQuest menerbitkan threat spotlight pada 5 Juni yang mendokumentasikan bahwa agentic AI-nya berhasil mengkorelasikan telemetri endpoint dan network yang tersebar dan tampak tidak terkait untuk mengidentifikasi dan eskalasi cluster spionase yang terhubung dengan China (OP-512) yang menargetkan server Microsoft IIS yang menghadap internet yang menjalankan end-of-life .NET Framework 4.0. Para penyerang menerapkan tiga custom web shell dengan keunikan kriptografi per-deployment, saluran perintah terenkripsi, reflective loading, timestomping, dan DNS-based self-reporting dari URL yang diterapkan. Deteksi bergantung pada sinyal perilaku dari w3wp.exe DNS queries dan ASP.NET temporary compilation paths, bukan signature.
Mengapa penting
Ini adalah instance produksi yang terdokumentasi dari agentic AI yang melakukan multi-signal event correlation yang akan terlewatkan oleh analis manusia di dwell time SOC khas — bukan hanya summarisation. Untuk tim keamanan yang mengevaluasi AI-assisted SOC tools, hal ini mengilustrasikan nilai deteksi dan persyaratan governance: AI correlation harus dipasangkan dengan explainable evidence trails dan validasi manusia sebelum eskalasi, karena confidence yang sama yang mengungkapkan ancaman nyata juga dapat menekan weak evidence dari human review.
Cakupan penerapan
Tim SOC dan pembeli MDR harus mengevaluasi apakah alat AI correlation mereka menghasilkan explainable evidence trails; tim IR yang menangani lingkungan IIS harus menerapkan deteksi perilaku OP-512 (w3wp.exe hex-encoded DNS queries, anomalous .ashx responses); tim infrastruktur harus mengaudit dan menghentikan host EoL .NET Framework 4.0.