حملة احتيال تحسين محركات البحث UAT-8099

كشف باحثو الأمن السيبراني مؤخرًا عن مجموعة إجرامية إلكترونية ناطقة بالصينية، تُعرف باسم UAT-8099، وهي مسؤولة عن هجمات متطورة تستهدف خوادم خدمات معلومات الإنترنت (IIS) من مايكروسوفت. وتتورط هذه المجموعة في عمليات احتيال تتعلق بتحسين محركات البحث (SEO) وسرقة بيانات اعتماد عالية القيمة وملفات تكوين وبيانات شهادات، مما يُشكل مخاطر جسيمة على المؤسسات حول العالم.

الوصول العالمي وملف الهدف

رُصد نشاط المجموعة بشكل رئيسي في الهند وتايلاند وفيتنام وكندا والبرازيل، مُؤثرًا على الجامعات وشركات التكنولوجيا ومُزودي خدمات الاتصالات. اكتُشفت هجمات UAT-8099 لأول مرة في أبريل 2025، وتُركز بشكل رئيسي على مستخدمي الهواتف المحمولة، بما في ذلك أجهزة Android وiOS.

هذا الفاعل جزء من موجة متنامية من مجموعات التهديدات المرتبطة بالصين والمتورطة في عمليات احتيال تحسين محركات البحث. وللتوضيح، فقد اخترقت حملة حديثة شنّها فاعل آخر، GhostRedirector، ما لا يقل عن 65 خادم ويندوز باستخدام وحدة IIS خبيثة تحمل الاسم الرمزي Gamshen، مستهدفةً مناطق مماثلة.

أساليب الهجوم والوصول الأولي

يختار UAT-8099 بعناية خوادم IIS عالية القيمة في المناطق المستهدفة، ويستغل ثغرات أمنية أو إعدادات تحميل ملفات ضعيفة. ويشمل نهجهم ما يلي:

• تحميل قذائف الويب لجمع معلومات النظام.
• تصعيد الامتيازات عبر حساب الضيف، والوصول إلى مستوى الوصول إلى المسؤول.
• تمكين بروتوكول سطح المكتب البعيد (RDP) للوصول المستمر.

تتخذ المجموعة أيضًا خطوات لتأمين موطئ قدمها الأولي، ومنع جهات تهديد أخرى من اختراق الخوادم نفسها. يُستخدم Cobalt Strike كبوابة خلفية رئيسية لأنشطة ما بعد الاستغلال.

الاستمرارية ونشر البرامج الضارة

للحفاظ على سيطرة طويلة الأمد، يجمع UAT-8099 بروتوكول RDP مع أدوات VPN مثل SoftEther VPN وEasyTier وFast Reverse Proxy (FRP). وتُختتم سلسلة الهجمات بتثبيت برمجية خبيثة تُسمى BadIIS، وهي أداة تستخدمها مجموعات ناطقة بالصينية متعددة، بما في ذلك DragonRank وOperation Rewrite (CL-UNK-1037).

بمجرد دخوله، يستخدم المُخترق أدوات واجهة المستخدم الرسومية، مثل Everything، لتحديد موقع البيانات القيّمة واستخراجها لإعادة بيعها أو استغلالها لاحقًا. ولا يزال العدد الدقيق للخوادم المُخترقة مجهولًا.

البرامج الضارة BadIIS: الأوضاع والوظائف

تم تعديل متغير BadIIS المُستخدم خصيصًا لتجنب اكتشاف الفيروسات، وهو يُحاكي وظائف Gamshen. لا يُفعّل تعديله لمحركات البحث إلا عند وصول الطلبات من Googlebot. يعمل BadIIS بثلاثة أوضاع رئيسية:

وضع الوكيل : يستخرج عناوين خادم C2 المشفرة ويستخدمها كوكلاء لاسترداد المحتوى من الخوادم الثانوية.

وضع الحقن : يعترض طلبات المتصفح من نتائج بحث Google، ويستعيد JavaScript من خادم C2، ويدمجه في استجابة HTML، ويعيد توجيه المستخدمين إلى مواقع أو إعلانات غير مصرح بها.

وضع الاحتيال في محركات البحث : اختراق خوادم IIS المتعددة لتعزيز تصنيفات محرك البحث بشكل مصطنع باستخدام الروابط الخلفية.

احتيال تحسين محركات البحث وتكتيكات الروابط الخلفية

يستخدم معيار UAT-8099 الروابط الخلفية، وهي استراتيجية تحسين محركات البحث (SEO) قياسية، لزيادة ظهور الموقع الإلكتروني. يُقيّم جوجل الروابط الخلفية لاكتشاف صفحات جديدة وقياس مدى ملاءمة الكلمات المفتاحية. في حين أن زيادة الروابط الخلفية قد تُحسّن التصنيفات، إلا أن الروابط الخلفية رديئة الجودة أو الاصطناعية قد تُعرّض موقعك لعقوبات من جوجل.

من خلال الجمع بين نشر البرامج الضارة واستخدام غلاف الويب والروابط الخلفية الاستراتيجية، يتمكن UAT-8099 من التلاعب بنتائج البحث وتحقيق الربح من الخوادم المخترقة بشكل فعال، مما يجعلها جهة عالية الخطورة في مشهد الاحتيال في محركات البحث.