Podvodná SEO kampaň UAT-8099
Výzkumníci v oblasti kybernetické bezpečnosti nedávno odhalili čínsky mluvící skupinu páchající kyberzločin s kódovým označením UAT-8099, která je zodpovědná za sofistikované útoky zaměřené na servery Microsoft Internet Information Services (IIS). Tato skupina se zabývá podvody v oblasti optimalizace pro vyhledávače (SEO) a krádežemi cenných přihlašovacích údajů, konfiguračních souborů a dat certifikátů, což představuje značné riziko pro organizace po celém světě.
Obsah
Globální dosah a cílová skupina
Aktivita skupiny byla pozorována především v Indii, Thajsku, Vietnamu, Kanadě a Brazílii a postihovala univerzity, technologické firmy a telekomunikační poskytovatele. Útoky UAT-8099, poprvé zjištěné v dubnu 2025, se zaměřují především na mobilní uživatele, a to jak na zařízeních se systémy Android, tak i iOS.
Tento aktér je součástí rostoucí vlny hrozeb spojených s Čínou, které se zabývají SEO podvody. Pro kontext, nedávná kampaň jiného aktéra, GhostRedirector, napadla nejméně 65 serverů Windows pomocí škodlivého modulu IIS s kódovým označením Gamshen a zaměřila se na podobné regiony.
Metody útoku a počáteční přístup
UAT-8099 pečlivě vybírá vysoce hodnotné servery IIS v cílových oblastech a zneužívá bezpečnostní zranitelnosti nebo slabé konfigurace pro nahrávání souborů. Jejich přístup zahrnuje:
- Nahrávání webových shellů pro shromažďování systémových informací.
- Zvyšování oprávnění prostřednictvím účtu hosta, dosažení přístupu na úrovni administrátora.
- Povolení protokolu RDP (Remote Desktop Protocol) pro pokračující přístup.
Skupina také podniká kroky k zajištění počáteční pozice a brání dalším aktérům v napadení stejných serverů. Cobalt Strike je nasazen jako primární zadní vrátka pro aktivity po zneužití.
Perzistence a nasazení malwaru
Pro udržení dlouhodobé kontroly kombinuje UAT-8099 RDP s nástroji VPN, jako jsou SoftEther VPN, EasyTier a Fast Reverse Proxy (FRP). Řetězec útoku vrcholí instalací malwaru BadIIS, nástroje používaného několika čínsky mluvícími klastry, včetně DragonRank a Operation Rewrite (CL-UNK-1037).
Jakmile se útočník dostane dovnitř, použije nástroje s grafickým rozhraním, jako je Everything, k vyhledání a exfiltraci cenných dat za účelem dalšího prodeje nebo zneužití. Přesný počet napadených serverů zůstává neznámý.
Malware BadIIS: Režimy a funkce
Nasazená varianta BadIIS byla speciálně upravena tak, aby se vyhnula detekci antivirem, a kopíruje funkčnost Gamshenu. Jeho SEO manipulace se aktivuje pouze tehdy, když požadavky pocházejí od Googlebota. BadIIS funguje ve třech hlavních režimech:
Režim proxy : Extrahuje kódované adresy serverů C2 a používá je jako proxy k načtení obsahu ze sekundárních serverů.
Režim injektoru : Zachycuje požadavky prohlížeče z výsledků vyhledávání Google, načítá JavaScript ze serveru C2, vkládá jej do HTML odpovědi a přesměrovává uživatele na neautorizované stránky nebo reklamy.
Režim SEO podvodu : Naruší více serverů IIS, aby uměle zvýšil pozice ve vyhledávačích pomocí zpětných odkazů.
SEO podvody a taktiky zpětných odkazů
UAT-8099 využívá zpětné odkazy, standardní SEO strategii, ke zvýšení viditelnosti webových stránek. Google vyhodnocuje zpětné odkazy, aby objevil nové stránky a změřil relevanci klíčových slov. Zatímco více zpětných odkazů může zlepšit hodnocení, nekvalitní nebo umělé zpětné odkazy mohou od Googlu vést k sankcím.
Kombinací nasazení malwaru, používání webového shellu a strategického zpětného odkazování je UAT-8099 schopen manipulovat s výsledky vyhledávání a efektivně monetizovat napadené servery, což z něj činí vysoce rizikového aktéra v oblasti SEO podvodů.
