Campanya de frau SEO UAT-8099
Investigadors de ciberseguretat han descobert recentment un grup de ciberdelinqüència de parla xinesa amb el nom en clau UAT-8099, responsable d'atacs sofisticats dirigits a servidors de Microsoft Internet Information Services (IIS). Aquest grup es dedica al frau d'optimització de motors de cerca (SEO) i al robatori de credencials d'alt valor, fitxers de configuració i dades de certificats, cosa que representa riscos importants per a les organitzacions de tot el món.
Taula de continguts
Abast global i perfil objectiu
L'activitat del grup s'ha observat principalment a l'Índia, Tailàndia, Vietnam, Canadà i Brasil, i ha afectat universitats, empreses tecnològiques i proveïdors de telecomunicacions. Detectats per primera vegada l'abril de 2025, els atacs de l'UAT-8099 se centren principalment en usuaris de mòbils, i abasten tant dispositius Android com iOS.
Aquest actor forma part d'una onada creixent de clústers d'amenaces vinculats a la Xina que es dediquen al frau SEO. Per contextualitzar-ho, una campanya recent d'un altre actor, GhostRedirector, va comprometre almenys 65 servidors Windows mitjançant un mòdul IIS maliciós amb nom en clau Gamshen, dirigit a regions similars.
Mètodes d’atac i accés inicial
L'UAT-8099 selecciona acuradament servidors IIS d'alt valor a les regions de destinació i explota vulnerabilitats de seguretat o configuracions de càrrega de fitxers febles. El seu enfocament implica:
- Pujada de shells web per recopilar informació del sistema.
- Escalant privilegis a través del compte de convidat, assolint l'accés a nivell d'administrador.
- Habilitació del Protocol d'escriptori remot (RDP) per a l'accés continu.
El grup també pren mesures per assegurar el punt de suport inicial, evitant que altres actors d'amenaces comprometin els mateixos servidors. Cobalt Strike es desplega com a porta del darrere principal per a l'activitat posterior a l'explotació.
Persistència i desplegament de programari maliciós
Per mantenir el control a llarg termini, l'UAT-8099 combina RDP amb eines VPN com ara SoftEther VPN, EasyTier i Fast Reverse Proxy (FRP). La cadena d'atac culmina amb la instal·lació del programari maliciós BadIIS, una eina utilitzada per diversos clústers de parla xinesa, com ara DragonRank i Operation Rewrite (CL-UNK-1037).
Un cop a dins, l'actor utilitza eines d'interfície gràfica d'usuari com ara Everything per localitzar i exfiltrar dades valuoses per a la seva revenda o explotació posterior. El nombre exacte de servidors compromesos continua sent desconegut.
El programari maliciós BadIIS: modes i funcionalitat
La variant implementada de BadIIS s'ha modificat específicament per evadir la detecció antivirus i reflecteix la funcionalitat de Gamshen. La seva manipulació SEO només s'activa quan les sol·licituds provenen de Googlebot. BadIIS funciona en tres modes principals:
Mode proxy : extreu les adreces de servidor C2 codificades i les utilitza com a proxys per recuperar contingut de servidors secundaris.
Mode d'injecció : intercepta les sol·licituds del navegador dels resultats de cerca de Google, recupera JavaScript del servidor C2, l'incrusta a la resposta HTML i redirigeix els usuaris a llocs o anuncis no autoritzats.
Mode de frau SEO : Compromet diversos servidors IIS per millorar artificialment el posicionament als motors de cerca mitjançant enllaços entrants.
Tàctiques de frau SEO i backlinks
L'UAT-8099 utilitza els enllaços entrants, una estratègia de SEO estàndard, per augmentar la visibilitat del lloc web. Google avalua els enllaços entrants per descobrir noves pàgines i mesurar la rellevància de les paraules clau. Mentre que més enllaços entrants poden millorar el posicionament, els enllaços entrants de mala qualitat o artificials poden desencadenar penalitzacions per part de Google.
Combinant la implementació de programari maliciós, l'ús de web shell i els enllaços entrants estratègics, l'UAT-8099 és capaç de manipular els resultats de cerca i monetitzar els servidors compromesos de manera efectiva, convertint-los en un actor d'alt risc en el panorama del frau SEO.
