Pesquisadores de cibersegurança identificaram um grupo de crime cibernético de origem chinesa, codinome UAT-8099, responsável por fraudes envolvendo Search Engine Optimization (SEO) e pelo roubo de credenciais de alto valor, arquivos de configuração e dados de certificados digitais.
Os ataques têm como alvo servidores Microsoft Internet Information Services (IIS), com a maioria das infecções registradas na Índia, Tailândia, Vietnã, Canadá e Brasil.
Entre as vítimas, estão universidades, empresas de tecnologia e provedores de telecomunicações.
O grupo foi identificado pela primeira vez em abril de 2025, com foco principal em usuários móveis, abrangendo dispositivos Android e Apple iPhone.
O UAT-8099 é o mais recente ator ligado à China a explorar fraudes de SEO para obtenção de ganhos financeiros.
Apenas no mês passado, a empresa ESET divulgou detalhes sobre outro grupo chamado GhostRedirector, que conseguiu comprometer pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã, por meio de um módulo malicioso para IIS conhecido como Gamshen, usado também para fraudes envolvendo SEO.
“O UAT-8099 manipula rankings de busca ao focar em servidores IIS de alto valor reputacional em regiões específicas”, destaca Joey Chen, pesquisador da Cisco Talos.
“O grupo mantém persistência e altera as posições no SEO usando web shells, ferramentas de hacking open-source, Cobalt Strike e diversos malwares da família BadIIS.
Suas ferramentas de automação são personalizadas para evitar defesas e ocultar suas atividades.”
O ataque começa quando o invasor encontra um servidor IIS vulnerável — seja por falhas de segurança ou configurações fracas no recurso de upload de arquivos.
A partir desse ponto, ele faz o upload de web shells para realizar reconhecimento e coletar informações básicas do sistema.
Depois, o grupo financeiro habilita a conta de visitante para realizar escalonamento de privilégios até o nível de administrador, liberando o uso de Remote Desktop Protocol (RDP).
Além disso, o UAT-8099 age para fechar o caminho inicial de acesso, garantindo o controle exclusivo sobre os hosts comprometidos e impedindo a entrada de outros agentes maliciosos.
Como backdoor preferencial para a fase de pós-exploração, o grupo usa o Cobalt Strike.
Para garantir persistência, o RDP é combinado com ferramentas de VPN como SoftEther VPN, EasyTier e Fast Reverse Proxy (FRP).
A cadeia de ataque termina com a instalação do malware BadIIS, conhecido por outras campanhas chinesas, incluindo DragonRank e Operation Rewrite (também chamada CL-UNK-1037).
O grupo utiliza RDP para acessar os servidores IIS e, por meio de uma interface gráfica chamada Everything, localiza dados valiosos no sistema comprometido.
Esses dados são então empacotados para revenda ou exploração futura.
Ainda não está claro quantos servidores foram afetados.
O malware BadIIS presente nesta campanha é uma variante que modificou sua estrutura de código e funcionamento para evitar a detecção por antivírus.
Seu funcionamento é similar ao malware Gamshen, ativando a manipulação de SEO apenas quando o pedido é originado pelo Google — ou seja, quando o User-Agent identifica o Googlebot.
O BadIIS opera em três modos distintos:
- Proxy: extrai o endereço do servidor de comando e controle (C2) embutido e codificado, usando-o como proxy para buscar conteúdo de um segundo servidor C2;
- Injector: intercepta requisições de navegadores vindas de resultados do Google, conecta-se ao servidor C2 para recuperar código JavaScript, insere esse código no conteúdo HTML da resposta e redireciona o usuário para destinos específicos, como propagandas não autorizadas ou sites de jogos ilegais;
- SEO fraud: compromete múltiplos servidores IIS para realizar fraudes de SEO, servindo backlinks usados para impulsionar artificialmente o ranking de sites.
“O grupo usa a técnica convencional de backlinking para aumentar a visibilidade dos sites”, explica a Talos.
“O algoritmo do Google avalia backlinks para descobrir novos sites e determinar a relevância das palavras-chave.
Quanto mais backlinks de qualidade um site possui, maior a probabilidade de acesso pelos crawlers do Google, acelerando a melhora do ranking e a exposição das páginas”.
“No entanto, acumular backlinks sem qualidade pode resultar em penalizações por parte do Google.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...