Sofisticado web shell que compromete servidores IIS y pone en riesgo a más de 400 dependencias del gobierno mexicano

julio 30, 2025

Sofisticado web shell que compromete servidores IIS y pone en riesgo a más de 400 dependencias del gobierno mexicano

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

En un entorno donde los ciberataques se vuelven cada vez más sofisticados y difíciles de detectar, la unidad de investigación de SILIKN ha confirmado una nueva amenaza dirigida específicamente a los servidores Microsoft Internet Information Services (IIS). Se trata de un script malicioso denominado UpdateChecker.aspx, diseñado para otorgar a los atacantes un control remoto total sobre los sistemas afectados.

Este archivo malicioso, camuflado como una página web legítima, es en realidad un web shell escrito en lenguaje C# que utiliza técnicas avanzadas de ofuscación para evadir análisis y detección. Entre sus características se encuentra el uso de nombres aleatorios, codificación en Unicode y datos cifrados. Su propósito es claro: ejecutar comandos remotos y permitir el control sigiloso del sistema vulnerado mediante solicitudes HTTP, específicamente a través del método POST con el tipo de contenido application/octet-stream.

Los comandos enviados al script se encuentran cifrados, codificados en Base64 y estructurados en formato JSON. Cada petición contiene un encabezado cifrado que, al descifrarse, permite desbloquear y ejecutar el resto del mensaje. Este mecanismo garantiza que solo los atacantes con el conocimiento adecuado puedan interactuar con el web shell sin generar alertas.

El UpdateChecker.aspx está estructurado en tres módulos principales:

- Base: recolecta información fundamental del sistema comprometido, como la versión del sistema operativo, dirección IP y nombre del equipo. Esta recopilación se lleva a cabo mediante comandos como GetBasicServerInfo, proporcionando a los atacantes un mapa detallado del entorno objetivo.

- CommandShell: permite ejecutar comandos del sistema operativo, como whoami, que revela el usuario actualmente activo. Esto le permite al atacante operar con los mismos privilegios que el servidor IIS, aumentando así el riesgo de acciones más profundas dentro del sistema.

- FileManager: brinda herramientas avanzadas para gestionar archivos en el sistema afectado. Los atacantes pueden crear, eliminar, copiar o mover carpetas, buscar contenido utilizando filtros avanzados, cambiar permisos y fechas de los archivos, e incluso inyectar o extraer datos utilizando codificación Base64. Esta funcionalidad les permite alterar el sistema de forma sigilosa y persistente.

La verdadera amenaza de este web shell no solo radica en su capacidad para controlar el servidor de forma remota, sino en su potencial para facilitar movimientos laterales dentro de la red, robo de información confidencial y despliegue de otros tipos de malware o payloads personalizados. Su diseño modular, combinado con técnicas de evasión avanzadas, sugiere que se trata de una herramienta empleada en operaciones cibernéticas complejas, posiblemente respaldadas por atacantes vinculados a gobiernos extranjeros.

La unidad de investigación de SILIKN ha identificado aproximadamente 439 dependencias del gobierno mexicano que podrían estar en riesgo por el uso de servidores IIS vulnerables. Entre las instituciones potencialmente comprometidas se encuentran:

- Sistema de Administración Tributaria (SAT)
- Portal Tributario de la Secretaría de Hacienda del Estado de Hidalgo
- Comisión Nacional del Agua (Conagua)
- Ayuntamiento de Aguascalientes
- Portal Oficial del Gobierno del Estado de Aguascalientes
- Autoridad Certificadora del Gobierno del Estado de Guerrero
- Congreso del Estado de Jalisco
- PrevenIMSS en Empresas del Instituto Mexicano del Seguro Social (IMSS)
- Sistema Nacional de Vigilancia Epidemiológica (SINAVE)

Estas entidades gestionan una gran cantidad de información sensible y estratégica, por lo que una intrusión comprometería datos críticos y pondría en riesgo la seguridad nacional. La capacidad del script malicioso para operar de manera oculta lo convierte en una amenaza especialmente peligrosa.

Ante este panorama, la unidad de investigación de SILIKN recomienda que todas las organizaciones que sospechen haber sido comprometidas activen de inmediato sus protocolos de respuesta a incidentes, realicen una auditoría exhaustiva de sus servidores IIS en busca de archivos .aspx inusuales y fortalezcan sus políticas de filtrado de solicitudes HTTP.

Además, es crucial reforzar la capacitación en ciberseguridad, especialmente en temas relacionados con técnicas de ingeniería social como el phishing, que a menudo es la vía inicial de acceso para los atacantes.

Este caso evidencia la necesidad urgente de implementar medidas proactivas en México y en cualquier país que utilice infraestructura digital crítica basada en servidores IIS. Esto incluye la instalación oportuna de parches de seguridad, auditorías periódicas, así como el fortalecimiento de las competencias de ciberseguridad entre los equipos de TI.

Para más información, visite: https://www.silikn.com/