China Chopper es un shell web de aproximadamente 4 kilobytes de tamaño, descubierto por primera vez en 2012. Este shell web es comúnmente utilizado por actores chinos maliciosos, incluidos los grupos de amenazas persistentes avanzadas (APT), para controlar servidores web de forma remota . Este shell web tiene dos partes: la interfaz del cliente (un archivo ejecutable ) y el archivo de host del receptor en el servidor web comprometido.
China Chopper tiene muchos comandos y funciones de control, como una opción de ataque de fuerza bruta de contraseñas, ofuscación de código , administración de archivos y bases de datos y una interfaz gráfica de usuario . [1] [2] [3] [4] Originalmente se distribuía desde un sitio web www.maicaidao.com que ahora está inactivo. FireEye reveló que el cliente de este shell web está programado en Microsoft Visual C++ 6.0
China Chopper fue utilizada en ataques contra ocho proveedores de alojamiento web australianos que se vieron comprometidos debido al uso de un sistema operativo no compatible ( Windows Server 2008 ). Los piratas informáticos conectaron los servidores web a un grupo de minería de Monero , mediante el cual extrajeron Monero por un valor de aproximadamente 3868 AUD. [5]
En 2021, el grupo de amenazas persistentes avanzadas Hafnium utilizó una versión del web shell programado en JScript para explotar cuatro vulnerabilidades de día cero en Microsoft Exchange Server , en la filtración de datos de Microsoft Exchange Server de 2021. Este web shell se abandonó cuando se explotó una de estas vulnerabilidades, lo que permitió a los atacantes cargar un programa que se ejecutaba con privilegios de administrador . [6] Con solo la dirección del archivo .aspx que contiene el script, se podía realizar una solicitud HTTP POST al script con solo un comando en la solicitud, lo que hacía que el script ejecutara el comando inmediatamente usando la función 'eval' de JScript, lo que permitía a los atacantes ejecutar código arbitrario en el servidor. [7]