UAT-8099 SEO-bedrägerikampanj
Cybersäkerhetsforskare har nyligen avslöjat en kinesisktalande cyberbrottsgrupp med kodnamnet UAT-8099, ansvarig för sofistikerade attacker riktade mot Microsoft Internet Information Services (IIS)-servrar. Denna grupp sysslar med sökmotoroptimeringsbedrägerier (SEO) och stöld av värdefulla inloggningsuppgifter, konfigurationsfiler och certifikatdata, vilket utgör betydande risker för organisationer över hela världen.
Innehållsförteckning
Global räckvidd och målprofil
Gruppens aktivitet har främst observerats i Indien, Thailand, Vietnam, Kanada och Brasilien, och drabbat universitet, teknikföretag och telekomleverantörer. UAT-8099:s attacker upptäcktes första gången i april 2025 och fokuserar främst på mobilanvändare, och omfattar både Android- och iOS-enheter.
Denna aktör är en del av en växande våg av hotkluster med kopplingar till Kina som ägnar sig åt SEO-bedrägerier. Som kontext kan nämnas att en nyligen genomförd kampanj av en annan aktör, GhostRedirector, komprometterade minst 65 Windows-servrar med hjälp av en skadlig IIS-modul med kodnamnet Gamshen, som riktade sig mot liknande regioner.
Attackmetoder och initial åtkomst
UAT-8099 väljer noggrant ut värdefulla IIS-servrar i målregioner och utnyttjar säkerhetsbrister eller svaga filuppladdningskonfigurationer. Deras tillvägagångssätt innefattar:
- Laddar upp webbshells för att samla in systeminformation.
- Eskalerar behörigheter via gästkontot och når administratörsnivå.
- Aktiverar Remote Desktop Protocol (RDP) för fortsatt åtkomst.
Gruppen vidtar också åtgärder för att säkra ett initialt fotfäste och förhindra att andra hotaktörer komprometterar samma servrar. Cobalt Strike används som den primära bakdörren för aktivitet efter utnyttjandet.
Persistens och distribution av skadlig programvara
För att bibehålla långsiktig kontroll kombinerar UAT-8099 RDP med VPN-verktyg som SoftEther VPN, EasyTier och Fast Reverse Proxy (FRP). Attackkedjan kulminerar i installationen av BadIIS-skadlig kod, ett verktyg som används av flera kinesisktalande kluster, inklusive DragonRank och Operation Rewrite (CL-UNK-1037).
Väl inne använder aktören grafiska verktyg som Everything för att lokalisera och utvinna värdefull data för vidareförsäljning eller vidare utnyttjande. Det exakta antalet komprometterade servrar är fortfarande okänt.
BadIIS Malware: Lägen och funktionalitet
Den distribuerade BadIIS-varianten har modifierats specifikt för att undvika antivirusdetektering och speglar Gamshens funktionalitet. Dess SEO-manipulation aktiveras endast när förfrågningar kommer från Googlebot. BadIIS fungerar i tre huvudlägen:
Proxyläge : Extraherar kodade C2-serveradresser och använder dem som proxyservrar för att hämta innehåll från sekundära servrar.
Injektorläge : Avlyssnar webbläsarförfrågningar från Googles sökresultat, hämtar JavaScript från C2-servern, bäddar in det i HTML-svaret och omdirigerar användare till obehöriga webbplatser eller annonser.
SEO-bedrägeriläge : Kompromitterar flera IIS-servrar för att artificiellt öka sökmotorrankningen med hjälp av bakåtlänkar.
SEO-bedrägerier och bakåtlänkningstaktik
UAT-8099 använder bakåtlänkning, en standard SEO-strategi, för att öka webbplatsens synlighet. Google utvärderar bakåtlänkar för att upptäcka nya sidor och mäta sökordsrelevans. Medan fler bakåtlänkar kan förbättra rankningen, kan bakåtlänkar av dålig kvalitet eller artificiella bakåtlänkar utlösa straff från Google.
Genom att kombinera distribution av skadlig kod, användning av webbskal och strategisk bakåtlänkning kan UAT-8099 manipulera sökresultat och effektivt tjäna pengar på komprometterade servrar, vilket gör dem till en högriskaktör i SEO-bedrägerilandskapet.
