UAT-8099 SEO-fraudecampagne
Cybersecurityonderzoekers hebben onlangs een Chineestalige cybercrimegroep met de codenaam UAT-8099 ontdekt, die verantwoordelijk is voor geavanceerde aanvallen op Microsoft Internet Information Services (IIS)-servers. Deze groep houdt zich bezig met zoekmachineoptimalisatie (SEO)-fraude en de diefstal van waardevolle inloggegevens, configuratiebestanden en certificaatgegevens, wat aanzienlijke risico's oplevert voor organisaties wereldwijd.
Inhoudsopgave
Wereldwijd bereik en doelgroepprofiel
De activiteiten van de groep zijn voornamelijk waargenomen in India, Thailand, Vietnam, Canada en Brazilië, met aanvallen op universiteiten, technologiebedrijven en telecomproviders. De aanvallen van UAT-8099, die voor het eerst werden gedetecteerd in april 2025, richten zich voornamelijk op mobiele gebruikers, zowel op Android- als iOS-apparaten.
Deze actor maakt deel uit van een groeiende golf van aan China gelinkte dreigingsclusters die zich bezighouden met SEO-fraude. Ter vergelijking: een recente campagne van een andere actor, GhostRedirector, heeft minstens 65 Windows-servers gecompromitteerd met behulp van een schadelijke IIS-module met de codenaam Gamshen, gericht op vergelijkbare regio's.
Aanvalsmethoden en eerste toegang
UAT-8099 selecteert zorgvuldig hoogwaardige IIS-servers in doelregio's en maakt misbruik van beveiligingskwetsbaarheden of zwakke configuraties voor het uploaden van bestanden. Hun aanpak omvat:
- Webshells uploaden om systeeminformatie te verzamelen.
- Escaleren van rechten via het gastaccount, toegang op beheerdersniveau bereiken.
- Remote Desktop Protocol (RDP) inschakelen voor voortdurende toegang.
De groep neemt ook maatregelen om de initiële voet aan de grond te krijgen en te voorkomen dat andere cybercriminelen dezelfde servers aanvallen. Cobalt Strike wordt ingezet als primaire achterdeur voor post-exploitatie-activiteiten.
Persistentie en malware-implementatie
Om de controle op de lange termijn te behouden, combineert UAT-8099 RDP met VPN-tools zoals SoftEther VPN, EasyTier en Fast Reverse Proxy (FRP). De aanvalsketen culmineert in de installatie van BadIIS-malware, een tool die wordt gebruikt door meerdere Chineestalige clusters, waaronder DragonRank en Operation Rewrite (CL-UNK-1037).
Eenmaal binnen gebruikt de dader GUI-tools zoals Everything om waardevolle data te lokaliseren en te exfiltreren voor wederverkoop of verdere exploitatie. Het exacte aantal gecompromitteerde servers blijft onbekend.
De BadIIS-malware: modi en functionaliteit
De geïmplementeerde BadIIS-variant is specifiek aangepast om antivirusdetectie te omzeilen en weerspiegelt de functionaliteit van Gamshen. De SEO-manipulatie wordt alleen geactiveerd wanneer verzoeken afkomstig zijn van Googlebot. BadIIS werkt in drie hoofdmodi:
Proxymodus : extraheert gecodeerde C2-serveradressen en gebruikt deze als proxy's om inhoud van secundaire servers op te halen.
Injectormodus : onderschept browserverzoeken van Google-zoekresultaten, haalt JavaScript op van de C2-server, integreert dit in het HTML-antwoord en stuurt gebruikers door naar ongeautoriseerde sites of advertenties.
SEO-fraudemodus : infecteert meerdere IIS-servers om de positie in zoekmachines kunstmatig te verbeteren met behulp van backlinks.
SEO-fraude en backlinking-tactieken
UAT-8099 maakt gebruik van backlinking, een standaard SEO-strategie, om de zichtbaarheid van websites te vergroten. Google evalueert backlinks om nieuwe pagina's te ontdekken en de relevantie van zoekwoorden te meten. Hoewel meer backlinks de ranking kunnen verbeteren, kunnen backlinks van slechte kwaliteit of kunstmatige backlinks leiden tot sancties van Google.
Door de combinatie van malware-implementatie, web shell-gebruik en strategische backlinking kan UAT-8099 zoekresultaten manipuleren en gecompromitteerde servers effectief geldelijker maken. Daarmee vormen ze een risicovolle speler in de SEO-fraudewereld.
