Pesquisadores em cibersegurança identificaram uma nova campanha atribuída a um grupo ligado à China, conhecido como UAT-8099, ocorrida entre o final de 2025 e o início de 2026.
A atividade, descoberta pela Cisco Talos, teve como alvo servidores vulneráveis do Internet Information Services (IIS) espalhados pela Ásia, com foco específico na Tailândia e no Vietnã.
Até o momento, sua dimensão permanece desconhecida.
Segundo o pesquisador Joey Chen, em uma análise divulgada na quinta-feira, “o UAT-8099 utiliza web shells e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, que permite o acesso remoto do invasor aos servidores IIS comprometidos”.
O grupo foi documentado pela primeira vez pela Cisco Talos em outubro de 2025, quando explorava servidores IIS na Índia, Tailândia, Vietnã, Canadá e Brasil para realizar fraudes envolvendo Search Engine Optimization (SEO).
Nesses ataques, os servidores eram infectados com um malware conhecido como BadIIS.
Avaliado como de origem chinesa, o grupo realiza ataques desde abril de 2025.
A campanha apresenta semelhanças com outra operação com o BadIIS, batizada de WEBJACK pela empresa finlandesa WithSecure em novembro do mesmo ano, baseada em sobreposições de ferramentas, infraestrutura de comando e controle (C2) e perfil de vítimas.
A campanha mais recente foca em comprometer servidores IIS localizados na Índia, Paquistão, Tailândia, Vietnã e Japão, com destaque para a Tailândia e o Vietnã, conforme observação da Cisco.
De acordo com a Talos, “embora o grupo continue usando web shells, SoftEther VPN e EasyTier para controlar os servidores comprometidos, sua estratégia operacional evoluiu bastante.
Primeiro, houve uma mudança nas táticas black hat de SEO, com foco regional mais específico.
Segundo, o grupo passou a utilizar mais ferramentas de red team e utilitários legítimos para evitar detecção e garantir persistência prolongada”.
A cadeia de ataque começa com o acesso inicial ao servidor IIS, geralmente explorando vulnerabilidades ou configurações frágeis no recurso de upload de arquivos.
Em seguida, são implantados payloads maliciosos que incluem:
- Execução de comandos de descoberta e reconhecimento para coleta de informações do sistema;
- Implantação de ferramentas VPN e criação de uma conta oculta chamada “admin$” para manter a persistência;
- Instalação de ferramentas como Sharp4RemoveLog (remove logs de eventos do Windows), CnCrypt Protect (oculta arquivos maliciosos), OpenArk64 (anti-rootkit para desabilitar processos de segurança) e GotoHTTP (controle remoto do servidor);
- Implantação do malware BadIIS usando a conta criada.
Com produtos de segurança sinalizando a conta “admin$”, o grupo passou a verificar se esse nome está bloqueado e, caso positivo, cria outra conta oculta chamada “mysql$” para garantir acesso e manter o serviço de fraude SEO ininterrupto.
A criação de múltiplas contas ocultas para persistência também foi observada.
Outra mudança relevante envolve o uso da ferramenta GotoHTTP para controle remoto do servidor infectado.
Ela é ativada por um Visual Basic Script baixado via comando PowerShell, executado após a implantação do web shell.
Os malwares BadIIS usados na campanha são duas variantes novas, customizadas para regiões específicas: o BadIIS IISHijack, que mira vítimas no Vietnã, e o BadIIS asdSearchEngine, voltado principalmente à Tailândia e a usuários com preferência pelo idioma tailandês.
O objetivo final do malware permanece o mesmo: escanear as requisições recebidas nos servidores IIS para identificar se o visitante é um crawler de mecanismo de busca.
Se for, o visitante é redirecionado a um site fraudulento de SEO.
Caso a requisição seja de um usuário comum e o cabeçalho Accept-Language indique tailandês, o malware injeta um HTML com JavaScript malicioso para redirecionamento.
A Cisco Talos identificou três variantes distintas dentro do cluster BadIIS asdSearchEngine:
- Variante que exclui múltiplas extensões, ignorando caminhos de arquivo que contenham essas extensões para evitar impactos no desempenho ou na aparência dos sites;
- Variante que carrega templates HTML, criando dinamicamente conteúdo substituindo espaços reservados por dados aleatórios, datas e URLs;
- Variante que verifica extensões dinâmicas de página ou índices de diretório solicitados.
Segundo a análise da Talos, “o grupo UAT-8099 implementou esses recursos para priorizar conteúdo de SEO de forma seletiva e manter furtividade.
Como o envenenamento de SEO depende da injeção de links JavaScript em páginas visitadas por crawlers, o malware foca em páginas dinâmicas, como default.aspx ou index.php, onde essas injeções são mais efetivas.
Além disso, ao restringir os arquivos processados, o malware evita gerar logs de erro suspeitos nos servidores”.
Há indícios também de que o grupo aprimora a versão Linux do BadIIS.
Um artefato ELF enviado ao VirusTotal em outubro de 2025 inclui modos de proxy, injetor e fraude SEO, limitando os alvos aos crawlers do Google, Microsoft Bing e Yahoo!.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...