Хак-група Gold Melody (відомі також як Prophet Spider, UNC961, TGR-CRI-0045) використовує витеклі ASP.NET machine keys для проникнення в системи компаній у США та Європі. Їхня ціль — продаж доступу до інфікованих серверів іншим зловмисникам.
За даними Unit 42 (Palo Alto Networks), група застосовує техніку ViewState десеріалізації, використовуючи відомі machine keys для виконання шкідливого коду прямо в пам’яті серверів, уникаючи звичайних систем захисту.
Initial Access Brokers (IAB) — це спеціалізовані кіберзлочинці, які проникають у системи та продають доступ іншим хак-групам. Gold Melody (TGR-CRI-0045) — один із таких IAB, котрий атакує компанії з галузей фінансів, логістики, роздрібної торгівлі та технологій. Їхні методи прості, але ефективні: через уразливості в .NET ViewState вони досягають виконання шкідливого коду без файлів. Додатково фіксувався запуск ELF-бінарників, Golang-сканерів (TXPortMap) та створення імплантів у памʼяті.
Кампанія Gold Melody демонструє новий рівень експлуатації cryptographic key leakage в ASP.NET-середовищі. Сучасним організаціям потрібно переглянути свої AppSec-стратегії: впровадити поведінкову аналітику, посилити контроль за machineKey, ViewState MAC та IIS middleware. Статичні антивіруси та FIM вже не здатні виявити подібні загрози.
