何が起きたか
ReliaQuestは6月5日に脅威スポットライトを公開し、agentic AIが分散した一見無関係なエンドポイントおよびネットワークテレメトリを相関させて、サポート終了の.NET Framework 4.0を実行するインターネット接続Microsoft IISサーバーを標的とする中国関連スパイ活動クラスター(OP-512)を特定・段階的に検出したことを記録している。攻撃者は展開ごとに暗号学的一意性を持つ3つのカスタムウェブシェルを展開し、暗号化コマンドチャネル、リフレクティブローディング、タイムスタンピング、およびDNSベースの展開されたURLの自己報告を実装している。検知はシグネチャではなく、w3wp.exeのDNSクエリおよびASP.NET一時的なコンパイルパスからの行動シグナルに依存している。
なぜ重要か
これは、典型的なSOCの滞留時間において人間のアナリストが見落としたであろう複数シグナルイベント相関を実行するagentic AIの実証された本番環境事例である—単なる要約ではない。AI支援型SOCツールを評価しているセキュリティチームにとって、それは検知価値とガバナンス要件の両方を示唆している:AI相関は、実際の脅威を検出するのと同じ確信度が弱い証拠を人間のレビューから抑制する可能性があるため、エスカレーション前に説明可能な証拠追跡と人間による検証と組み合わせる必要がある。
適用範囲
SOCチームおよびMDR購入者は、AI相関ツールが説明可能な証拠追跡を生成するかどうかを評価する必要がある;IIS環境を処理しているIRチームはOP-512行動検知(w3wp.exe 16進エンコードDNSクエリ、異常な.ashx応答)を実装する必要がある;インフラストラクチャチームはEoL .NET Framework 4.0ホストを監査および廃止する必要がある。