Em um cenário digital cada vez mais ameaçado por ataques cibernéticos sofisticados, os chamados Initial Access Brokers (IABs) desempenham um papel central ao facilitar o acesso de agentes maliciosos às redes corporativas. Um desses grupos, o Gold Melody, tem ganhado notoriedade por empregar táticas avançadas e silenciosas para comprometer aplicações web, explorando vulnerabilidades pouco visadas até então — como as chaves de máquina ASP.NET.
Este artigo tem como objetivo esclarecer a atuação do Gold Melody, explicar o que são essas chaves e como sua exposição pode comprometer toda uma infraestrutura de TI. Além disso, forneceremos orientações práticas e técnicas para desenvolvedores ASP.NET, administradores de sistemas e equipes de segurança da informação, com foco em mitigar os riscos associados a essa ameaça emergente.
A exploração de chaves de máquina ASP.NET representa um vetor de ataque perigoso e muitas vezes negligenciado. Quando expostas, essas chaves permitem que invasores manipulem o ViewState de aplicações web, levando à execução remota de código (RCE) e comprometimento do servidor. Entender essa técnica, identificar sinais de intrusão e aplicar defesas proativas são passos essenciais para manter a segurança ASP.NET em níveis adequados.

Quem é o Gold Melody IAB e qual seu modus operandi?
O Gold Melody, também rastreado sob os codinomes Prophet Spider e UNC961, é um grupo classificado como corretor de acesso inicial (IAB). Em vez de realizar ataques finais diretamente (como ransomware), o foco desses operadores é invadir ambientes corporativos e vender esse acesso a outros agentes maliciosos em fóruns clandestinos ou redes privadas.
Ativo desde ao menos 2020, o grupo tem como alvo principal ambientes Windows com aplicações ASP.NET hospedadas em servidores IIS, normalmente em empresas dos setores de tecnologia, serviços financeiros, manufatura e saúde. A campanha mais recente foi documentada pela Palo Alto Networks (Unidade 42) e revelou táticas furtivas e bem estruturadas de exploração.
A exploração das chaves de máquina ASP.NET
As chaves de máquina ASP.NET são utilizadas para criptografar e validar dados sensíveis enviados do cliente para o servidor, como o ViewState, que guarda o estado da página entre requisições HTTP. Se essas chaves estiverem mal configuradas ou expostas — como em repositórios públicos, arquivos de backup acessíveis ou ambientes de teste mal protegidos — invasores podem criar dados ViewState maliciosos, explorando vulnerabilidades como desserialização insegura.
O Gold Melody se aproveita justamente desse ponto fraco. A partir do momento em que obtém acesso à chave de máquina de uma aplicação ASP.NET, o grupo pode criar um payload malicioso que, ao ser processado pelo servidor, resulta na execução de comandos arbitrários com os privilégios do processo da aplicação web — muitas vezes com acesso a todo o sistema.
Essa técnica tem relação com uma vulnerabilidade documentada pela Microsoft (CVE-2019-18935) e explorada com o uso de objetos manipulados via ViewState desserializado, principalmente em aplicações que não utilizam validação rigorosa ou que estão com a criptografia desabilitada.
As ferramentas e técnicas de ataque
O grupo Gold Melody utiliza uma combinação de ferramentas públicas e scripts próprios para realizar seus ataques. Entre os principais recursos empregados estão:
- Godzilla: Webshell que oferece uma interface interativa para controle remoto da aplicação comprometida.
- ysoserial.net: Ferramenta de código aberto que gera payloads maliciosos para testes de desserialização insegura em ambientes .NET.
- Módulos IIS maliciosos: Utilizados para manter persistência no servidor comprometido, operando de forma residente na memória para evadir soluções antivírus e ferramentas de monitoramento tradicionais.
Além disso, o grupo demonstra preferência por ataques de baixo perfil, evitando alterações visíveis nos sistemas e minimizando o tráfego de rede, dificultando a detecção precoce.
Impacto e as fases do ataque
A campanha observada seguiu uma estrutura em fases bem definidas, que permite escalar rapidamente os privilégios e garantir persistência no ambiente comprometido:
- Reconhecimento: O grupo realiza buscas por repositórios públicos, arquivos de configuração e ambientes expostos em busca de chaves de máquina ASP.NET.
- Exploitação inicial: Com a chave em mãos, eles criam payloads ViewState maliciosos e os enviam para endpoints vulneráveis.
- Implantação de ferramentas: Após a execução remota, são implantados webshells, módulos IIS personalizados e outros backdoors residentes.
- Pós-exploração: O Gold Melody utiliza ferramentas como updf, atm e TXPortMap para mapear a rede, escalar privilégios e preparar o ambiente para venda do acesso ou integração com outras ameaças (ex: ransomware).
O pico das atividades foi registrado entre o segundo semestre de 2023 e o primeiro de 2024, com indícios de que o grupo continua operando de forma ativa, adaptando suas técnicas conforme as organizações aprimoram suas defesas.
Como proteger suas aplicações ASP.NET contra o Gold Melody e ameaças similares
A segurança ASP.NET deve ser uma prioridade para qualquer organização que hospeda aplicações críticas na web. A seguir, detalhamos estratégias eficazes para prevenir ataques baseados em desserialização ViewState e exposição de chaves.
Auditoria e correção de chaves de máquina expostas
A primeira e mais importante medida é verificar se há chaves de máquina vazadas ou mal configuradas. Para isso:
- Realize buscas em repositórios públicos (ex: GitHub) usando termos como
machineKey
ouweb.config
. - Utilize ferramentas de análise de infraestrutura como código para identificar hardcodes inseguros.
- Implemente rotação periódica das chaves de máquina.
- Configure corretamente o elemento
<machineKey>
noweb.config
, sempre utilizando criptografia forte (HMACSHA256
,AES
) e validação.
Evite deixar a geração automática da chave ativa em ambientes de produção e nunca compartilhe configurações entre ambientes distintos (teste, staging, produção).
Fortalecendo a detecção e monitoramento
É essencial manter visibilidade sobre comportamentos anômalos e tentativas de exploração:
- Implante soluções EDR (Endpoint Detection and Response) capazes de detectar execução de comandos suspeitos na memória.
- Ative e monitore logs detalhados do IIS, com foco em parâmetros
__VIEWSTATE
e__EVENTVALIDATION
anormalmente grandes. - Utilize ferramentas de SIEM (Security Information and Event Management) para correlação de eventos.
- Faça varreduras periódicas com scanners focados em desserialização insegura.
Essas ações permitem identificar ataques em estágio inicial, reduzindo o tempo de resposta.
Melhores práticas de segurança de aplicações (AppSec)
A segurança da aplicação deve ser tratada desde o ciclo de desenvolvimento:
- Valide todas as entradas do usuário, mesmo aquelas aparentemente inofensivas.
- Evite mecanismos que utilizem desserialização automática sem validação de tipo e origem.
- Implemente modelos de ameaça internos que considerem falhas criptográficas, especialmente em frameworks legados.
- Realize pentests periódicos com foco em vetores menos óbvios, como
ViewState
,EventValidation
eHidden Fields
.
Adotar uma cultura de segurança desde o design (Security by Design) é essencial para evitar brechas como as exploradas pelo Gold Melody.
Conclusão: Uma batalha contínua pela segurança
O caso do Gold Melody IAB destaca como detalhes técnicos negligenciados, como a configuração inadequada de chaves de máquina ASP.NET, podem abrir portas para acessos não autorizados e comprometimento total de servidores. A combinação de ferramentas públicas, exploração furtiva e foco em persistência silenciosa torna esse tipo de ameaça extremamente perigosa.
Organizações que dependem de aplicações ASP.NET devem agir proativamente, auditando suas configurações, implementando monitoramento contínuo e capacitando suas equipes de desenvolvimento e segurança. A batalha pela proteção digital é constante — e exige atenção a cada linha de configuração, especialmente quando ela pode decidir o destino de toda uma infraestrutura.
Não espere ser a próxima vítima. Revise hoje mesmo suas chaves de máquina, fortaleça seus mecanismos de detecção e mantenha-se informado sobre as táticas mais recentes de grupos como o Gold Melody.