Fushata e Mashtrimit SEO UAT-8099

Studiuesit e sigurisë kibernetike kanë zbuluar së fundmi një grup kriminal kibernetik që flet kinezisht, i koduar me emrin UAT-8099, përgjegjës për sulme të sofistikuara që synojnë serverët e Microsoft Internet Information Services (IIS). Ky grup merret me mashtrime të optimizimit të motorëve të kërkimit (SEO) dhe vjedhjen e kredencialeve me vlerë të lartë, skedarëve të konfigurimit dhe të dhënave të certifikatave, duke paraqitur rreziqe të konsiderueshme për organizatat në mbarë botën.

Profili i Shtrirjes Globale dhe Synimit

Aktiviteti i grupit është vërejtur kryesisht në Indi, Tajlandë, Vietnam, Kanada dhe Brazil, duke prekur universitetet, firmat teknologjike dhe ofruesit e telekomunikacionit. Të zbuluara për herë të parë në prill 2025, sulmet e UAT-8099 përqendrohen kryesisht te përdoruesit e celularëve, duke përfshirë pajisjet Android dhe iOS.

Ky aktor është pjesë e një vale në rritje të grupeve të kërcënimeve të lidhura me Kinën që përfshihen në mashtrime SEO. Për kontekst, një fushatë e kohëve të fundit nga një aktor tjetër, GhostRedirector, kompromentoi të paktën 65 servera Windows duke përdorur një modul dashakeq IIS me emrin e koduar Gamshen, duke synuar rajone të ngjashme.

Metodat e Sulmit dhe Qasja Fillestare

UAT-8099 zgjedh me kujdes serverat IIS me vlerë të lartë në rajonet e synuara dhe shfrytëzon dobësitë e sigurisë ose konfigurimet e dobëta të ngarkimit të skedarëve. Qasja e tyre përfshin:

• Duke ngarkuar shell-et web për të mbledhur informacione të sistemit.
• Përshkallëzimi i privilegjeve nëpërmjet llogarisë së mysafirit, duke arritur aksesin në nivel administratori.
• Aktivizimi i Protokollit të Desktopit në Distancë (RDP) për akses të vazhdueshëm.

Grupi gjithashtu ndërmerr hapa për të siguruar pikëmbështetjen fillestare, duke parandaluar aktorë të tjerë kërcënues që të kompromentojnë të njëjtët servera. Cobalt Strike vendoset si dera kryesore e pasme për aktivitetin pas shfrytëzimit.

Qëndrueshmëria dhe Vendosja e Malware-it

Për të ruajtur kontrollin afatgjatë, UAT-8099 kombinon RDP me mjete VPN si SoftEther VPN, EasyTier dhe Fast Reverse Proxy (FRP). Zinxhiri i sulmit kulmon me instalimin e malware-it BadIIS, një mjet i përdorur nga shumë grupe kinezishtfolëse, duke përfshirë DragonRank dhe Operation Rewrite (CL-UNK-1037).

Pasi hyn brenda, aktori përdor mjete GUI si Everything për të gjetur dhe nxjerrë të dhëna të vlefshme për rishitje ose shfrytëzim të mëtejshëm. Numri i saktë i serverëve të kompromentuar mbetet i panjohur.

Malware BadIIS: Mënyrat dhe Funksionaliteti

Varianti i BadIIS i vendosur është modifikuar posaçërisht për të shmangur zbulimin e antivirusit dhe pasqyron funksionalitetin e Gamshen. Manipulimi i tij SEO aktivizohet vetëm kur kërkesat burojnë nga Googlebot. BadIIS funksionon në tre mënyra kryesore:

Modaliteti Proxy : Nxjerr adresat e koduara të serverit C2 dhe i përdor ato si proxy për të marrë përmbajtje nga serverët dytësorë.

Modaliteti i Injektorit : Ndërpret kërkesat e shfletuesit nga rezultatet e kërkimit në Google, merr JavaScript nga serveri C2, e integron atë në përgjigjen HTML dhe i ridrejton përdoruesit në faqe ose reklama të paautorizuara.

Modaliteti i Mashtrimit SEO : Kompromenton shumë servera IIS për të rritur artificialisht renditjen në motorët e kërkimit duke përdorur backlinks.

Mashtrimi SEO dhe taktikat e Backlinking

UAT-8099 përdor backlink-e, një strategji standarde SEO, për të rritur dukshmërinë e faqes së internetit. Google vlerëson backlink-et për të zbuluar faqe të reja dhe për të matur rëndësinë e fjalëve kyçe. Ndërsa më shumë backlink-e mund të përmirësojnë renditjen, backlink-et me cilësi të dobët ose artificiale mund të shkaktojnë penalizime nga Google.

Duke kombinuar vendosjen e malware-it, përdorimin e shell-it web dhe backlink-un strategjik, UAT-8099 është në gjendje të manipulojë rezultatet e kërkimit dhe të fitojë para nga serverët e kompromentuar në mënyrë efektive, duke i bërë ata një aktor me rrezik të lartë në peizazhin e mashtrimit SEO.