Campanie de fraudă SEO UAT-8099
Cercetătorii în domeniul securității cibernetice au descoperit recent un grup de infracțiuni cibernetice vorbitor de limba chineză, cu numele de cod UAT-8099, responsabil pentru atacuri sofisticate care vizau serverele Microsoft Internet Information Services (IIS). Acest grup se implică în fraude legate de optimizarea pentru motoarele de căutare (SEO) și în furtul de acreditări, fișiere de configurare și date de certificate de mare valoare, prezentând riscuri semnificative pentru organizațiile din întreaga lume.
Cuprins
Acoperire globală și profil țintă
Activitatea grupului a fost observată în principal în India, Thailanda, Vietnam, Canada și Brazilia, afectând universități, firme de tehnologie și furnizori de telecomunicații. Detectate pentru prima dată în aprilie 2025, atacurile UAT-8099 se concentrează în principal pe utilizatorii de dispozitive mobile, acoperind atât dispozitive Android, cât și iOS.
Acest actor face parte dintr-un val tot mai mare de grupuri de amenințări legate de China, implicate în fraude SEO. Pentru context, o campanie recentă a unui alt actor, GhostRedirector, a compromis cel puțin 65 de servere Windows folosind un modul IIS rău intenționat, cu numele de cod Gamshen, vizând regiuni similare.
Metode de atac și acces inițial
UAT-8099 selectează cu atenție serverele IIS de mare valoare din regiunile țintă și exploatează vulnerabilitățile de securitate sau configurațiile slabe de încărcare a fișierelor. Abordarea lor implică:
- Încărcarea shell-urilor web pentru a colecta informații despre sistem.
- Escalarea privilegiilor prin contul de oaspete, ajungând la acces la nivel de administrator.
- Activarea Protocolului Desktop la distanță (RDP) pentru acces continuu.
Grupul ia, de asemenea, măsuri pentru a se asigura poziția inițială, împiedicând alți actori amenințători să compromită aceleași servere. Cobalt Strike este implementat ca principal backdoor pentru activități post-exploatare.
Persistență și implementare de programe malware
Pentru a menține controlul pe termen lung, UAT-8099 combină RDP cu instrumente VPN precum SoftEther VPN, EasyTier și Fast Reverse Proxy (FRP). Lanțul de atac culminează cu instalarea malware-ului BadIIS, un instrument utilizat de mai multe clustere vorbitoare de limbă chineză, inclusiv DragonRank și Operation Rewrite (CL-UNK-1037).
Odată ajuns înăuntru, actorul folosește instrumente GUI precum Everything pentru a localiza și extrage date valoroase pentru revânzare sau exploatare ulterioară. Numărul exact de servere compromise rămâne necunoscut.
Malware BadIIS: moduri și funcționalități
Varianta implementată de BadIIS a fost modificată special pentru a evita detectarea antivirus și reflectă funcționalitatea Gamshen. Manipularea sa SEO se activează numai atunci când solicitările provin de la Googlebot. BadIIS funcționează în trei moduri principale:
Mod proxy : Extrage adresele serverului C2 codificate și le folosește ca proxy-uri pentru a prelua conținut de pe serverele secundare.
Modul Injector : Interceptează cererile browserului din rezultatele căutării Google, preia cod JavaScript de pe serverul C2, îl încorporează în răspunsul HTML și redirecționează utilizatorii către site-uri sau reclame neautorizate.
Mod de fraudă SEO : Compromite mai multe servere IIS pentru a îmbunătăți artificial clasamentul în motoarele de căutare folosind backlink-uri.
Frauda SEO și tacticile de backlinking
UAT-8099 folosește backlink-urile, o strategie SEO standard, pentru a crește vizibilitatea site-ului web. Google evaluează backlink-urile pentru a descoperi pagini noi și a măsura relevanța cuvintelor cheie. În timp ce mai multe backlink-uri pot îmbunătăți clasamentele, backlink-urile de calitate slabă sau artificiale pot declanșa penalizări din partea Google.
Prin combinarea implementării de programe malware, a utilizării shell-ului web și a backlink-urilor strategice, UAT-8099 este capabil să manipuleze rezultatele căutării și să monetizeze eficient serverele compromise, ceea ce îl face un actor cu risc ridicat în peisajul fraudelor SEO.
