Campagna di frode SEO UAT-8099
I ricercatori di sicurezza informatica hanno recentemente scoperto un gruppo di criminalità informatica di lingua cinese, nome in codice UAT-8099, responsabile di attacchi sofisticati ai server Microsoft Internet Information Services (IIS). Questo gruppo è impegnato in frodi di ottimizzazione per i motori di ricerca (SEO) e nel furto di credenziali di alto valore, file di configurazione e dati di certificati, rappresentando rischi significativi per le organizzazioni di tutto il mondo.
Sommario
Portata globale e profilo target
L'attività del gruppo è stata osservata principalmente in India, Thailandia, Vietnam, Canada e Brasile, colpendo università, aziende tecnologiche e operatori di telecomunicazioni. Rilevati per la prima volta nell'aprile 2025, gli attacchi di UAT-8099 si concentrano principalmente sugli utenti di dispositivi mobili, sia Android che iOS.
Questo autore fa parte di un'ondata crescente di cluster di minacce legate alla Cina che si dedicano a frodi SEO. Per contestualizzare, una recente campagna di un altro autore, GhostRedirector, ha compromesso almeno 65 server Windows utilizzando un modulo IIS dannoso con nome in codice Gamshen, prendendo di mira regioni simili.
Metodi di attacco e accesso iniziale
UAT-8099 seleziona attentamente server IIS di alto valore nelle regioni target e sfrutta le vulnerabilità di sicurezza o le configurazioni deboli di caricamento dei file. Il loro approccio prevede:
- Caricamento di web shell per raccogliere informazioni di sistema.
- Aumento dei privilegi tramite l'account ospite, raggiungendo l'accesso a livello di amministratore.
- Abilitazione del protocollo RDP (Remote Desktop Protocol) per un accesso continuo.
Il gruppo adotta inoltre misure per garantire il punto d'appoggio iniziale, impedendo ad altri autori di minacce di compromettere gli stessi server. Cobalt Strike viene utilizzato come backdoor principale per le attività successive allo sfruttamento.
Persistenza e distribuzione di malware
Per mantenere il controllo a lungo termine, UAT-8099 combina RDP con strumenti VPN come SoftEther VPN, EasyTier e Fast Reverse Proxy (FRP). La catena di attacco culmina con l'installazione del malware BadIIS, uno strumento utilizzato da diversi cluster di lingua cinese, tra cui DragonRank e Operation Rewrite (CL-UNK-1037).
Una volta all'interno, l'autore del reato utilizza strumenti con interfaccia grafica utente (GUI) come Everything per individuare ed esfiltrare dati preziosi da rivendere o sfruttare ulteriormente. Il numero esatto di server compromessi rimane sconosciuto.
Il malware BadIIS: modalità e funzionalità
La variante di BadIIS implementata è stata specificamente modificata per eludere il rilevamento antivirus e rispecchia le funzionalità di Gamshen. La sua manipolazione SEO si attiva solo quando le richieste provengono da Googlebot. BadIIS opera in tre modalità principali:
Modalità proxy : estrae gli indirizzi codificati del server C2 e li utilizza come proxy per recuperare contenuti dai server secondari.
Modalità Injector : intercetta le richieste del browser dai risultati di ricerca di Google, recupera JavaScript dal server C2, lo incorpora nella risposta HTML e reindirizza gli utenti a siti o pubblicità non autorizzati.
Modalità frode SEO : compromette più server IIS per aumentare artificialmente il posizionamento nei motori di ricerca utilizzando i backlink.
Truffe SEO e tattiche di backlinking
UAT-8099 utilizza il backlinking, una strategia SEO standard, per aumentare la visibilità di un sito web. Google valuta i backlink per scoprire nuove pagine e misurare la pertinenza delle parole chiave. Mentre un numero maggiore di backlink può migliorare il posizionamento, backlink di scarsa qualità o artificiali possono comportare penalizzazioni da parte di Google.
Combinando l'implementazione di malware, l'utilizzo di web shell e il backlinking strategico, UAT-8099 è in grado di manipolare i risultati di ricerca e monetizzare efficacemente i server compromessi, rendendoli un attore ad alto rischio nel panorama delle frodi SEO.
