Campanha de fraude de SEO UAT-8099
Pesquisadores de segurança cibernética descobriram recentemente um grupo de cibercrime de língua chinesa, codinome UAT-8099, responsável por ataques sofisticados direcionados aos servidores do Microsoft Internet Information Services (IIS). Esse grupo pratica fraudes de otimização de mecanismos de busca (SEO) e roubo de credenciais de alto valor, arquivos de configuração e dados de certificados, representando riscos significativos para organizações em todo o mundo.
Índice
Alcance global e perfil de destino
A atividade do grupo foi observada principalmente na Índia, Tailândia, Vietnã, Canadá e Brasil, afetando universidades, empresas de tecnologia e operadoras de telecomunicações. Detectados pela primeira vez em abril de 2025, os ataques do UAT-8099 se concentram principalmente em usuários de dispositivos móveis, tanto Android quanto iOS.
Este agente faz parte de uma onda crescente de grupos de ameaças vinculados à China que praticam fraudes de SEO. Para contextualizar, uma campanha recente de outro agente, o GhostRedirector, comprometeu pelo menos 65 servidores Windows usando um módulo malicioso do IIS, codinome Gamshen, visando regiões semelhantes.
Métodos de Ataque e Acesso Inicial
O UAT-8099 seleciona cuidadosamente servidores IIS de alto valor em regiões-alvo e explora vulnerabilidades de segurança ou configurações fracas de upload de arquivos. Sua abordagem envolve:
- Carregando web shells para coletar informações do sistema.
- Escalando privilégios por meio da conta de convidado, alcançando acesso de nível de administrador.
- Habilitando o Protocolo de Área de Trabalho Remota (RDP) para acesso contínuo.
O grupo também toma medidas para garantir a posição inicial, impedindo que outros agentes de ameaças comprometam os mesmos servidores. O Cobalt Strike é implantado como a principal porta dos fundos para atividades pós-exploração.
Persistência e implantação de malware
Para manter o controle a longo prazo, o UAT-8099 combina RDP com ferramentas de VPN, como SoftEther VPN, EasyTier e Fast Reverse Proxy (FRP). A cadeia de ataque culmina com a instalação do malware BadIIS, uma ferramenta usada por vários clusters de língua chinesa, incluindo DragonRank e Operation Rewrite (CL-UNK-1037).
Uma vez lá dentro, o criminoso usa ferramentas gráficas como o Everything para localizar e extrair dados valiosos para revenda ou exploração posterior. O número exato de servidores comprometidos permanece desconhecido.
O malware BadIIS: modos e funcionalidades
A variante implantada do BadIIS foi modificada especificamente para evitar a detecção de antivírus e espelha a funcionalidade do Gamshen. Sua manipulação de SEO é ativada apenas quando as solicitações são originadas do Googlebot. O BadIIS opera em três modos principais:
Modo proxy : extrai endereços de servidores C2 codificados e os usa como proxies para recuperar conteúdo de servidores secundários.
Modo Injetor : intercepta solicitações do navegador dos resultados de pesquisa do Google, recupera JavaScript do servidor C2, incorpora-o na resposta HTML e redireciona os usuários para sites ou anúncios não autorizados.
Modo de fraude de SEO : compromete vários servidores IIS para aumentar artificialmente as classificações dos mecanismos de busca usando backlinks.
Fraude de SEO e táticas de backlinking
O UAT-8099 utiliza backlinks, uma estratégia padrão de SEO, para aumentar a visibilidade do site. O Google avalia backlinks para descobrir novas páginas e mensurar a relevância das palavras-chave. Embora mais backlinks possam melhorar o ranqueamento, backlinks artificiais ou de baixa qualidade podem gerar penalidades do Google.
Ao combinar a implantação de malware, o uso de shell da web e backlinking estratégico, o UAT-8099 é capaz de manipular resultados de pesquisa e monetizar servidores comprometidos de forma eficaz, tornando-o um agente de alto risco no cenário de fraudes de SEO.
