Chiến dịch gian lận SEO UAT-8099

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một nhóm tội phạm mạng nói tiếng Trung Quốc có mật danh UAT-8099, chịu trách nhiệm cho các cuộc tấn công tinh vi nhắm vào máy chủ Dịch vụ Thông tin Internet (IIS) của Microsoft. Nhóm này tham gia vào các hoạt động gian lận tối ưu hóa công cụ tìm kiếm (SEO) và đánh cắp thông tin đăng nhập, tệp cấu hình và dữ liệu chứng chỉ có giá trị cao, gây ra rủi ro đáng kể cho các tổ chức trên toàn thế giới.

Hồ sơ mục tiêu và phạm vi tiếp cận toàn cầu

Hoạt động của nhóm này chủ yếu được phát hiện ở Ấn Độ, Thái Lan, Việt Nam, Canada và Brazil, ảnh hưởng đến các trường đại học, công ty công nghệ và nhà cung cấp dịch vụ viễn thông. Được phát hiện lần đầu vào tháng 4 năm 2025, các cuộc tấn công của UAT-8099 chủ yếu nhắm vào người dùng di động, bao gồm cả thiết bị Android và iOS.

Nhóm tin tặc này là một phần của làn sóng ngày càng gia tăng các nhóm tin tặc liên quan đến Trung Quốc tham gia vào hoạt động gian lận SEO. Để rõ hơn, một chiến dịch gần đây của một nhóm tin tặc khác, GhostRedirector, đã xâm nhập ít nhất 65 máy chủ Windows bằng một mô-đun IIS độc hại có tên mã là Gamshen, nhắm mục tiêu vào các khu vực tương tự.

Phương pháp tấn công và truy cập ban đầu

UAT-8099 cẩn thận lựa chọn các máy chủ IIS có giá trị cao trong các khu vực mục tiêu và khai thác các lỗ hổng bảo mật hoặc cấu hình tải tệp yếu. Phương pháp của họ bao gồm:

• Tải lên web shell để thu thập thông tin hệ thống.
• Nâng cao đặc quyền thông qua tài khoản khách, đạt được quyền truy cập ở cấp quản trị viên.
• Bật Giao thức máy tính từ xa (RDP) để tiếp tục truy cập.

Nhóm này cũng thực hiện các bước để bảo vệ vị trí ban đầu, ngăn chặn các tác nhân đe dọa khác xâm nhập vào cùng máy chủ. Cobalt Strike được triển khai như một cửa hậu chính cho hoạt động khai thác sau này.

Sự bền bỉ và triển khai phần mềm độc hại

Để duy trì khả năng kiểm soát lâu dài, UAT-8099 kết hợp RDP với các công cụ VPN như SoftEther VPN, EasyTier và Fast Reverse Proxy (FRP). Chuỗi tấn công lên đến đỉnh điểm với việc cài đặt phần mềm độc hại BadIIS, một công cụ được nhiều nhóm tin tặc Trung Quốc sử dụng, bao gồm DragonRank và Operation Rewrite (CL-UNK-1037).

Một khi đã xâm nhập, kẻ tấn công sẽ sử dụng các công cụ GUI như Everything để định vị và đánh cắp dữ liệu có giá trị để bán lại hoặc khai thác thêm. Số lượng máy chủ bị xâm nhập chính xác vẫn chưa được biết.

Phần mềm độc hại BadIIS: Các chế độ và chức năng

Biến thể BadIIS được triển khai đã được sửa đổi đặc biệt để tránh bị phát hiện bởi phần mềm diệt vi-rút và mô phỏng chức năng của Gamshen. Việc thao túng SEO của nó chỉ được kích hoạt khi các yêu cầu đến từ Googlebot. BadIIS hoạt động ở ba chế độ chính:

Chế độ Proxy : Trích xuất địa chỉ máy chủ C2 được mã hóa và sử dụng chúng làm proxy để truy xuất nội dung từ các máy chủ phụ.

Chế độ Injector : Chặn các yêu cầu của trình duyệt từ kết quả tìm kiếm của Google, truy xuất JavaScript từ máy chủ C2, nhúng vào phản hồi HTML và chuyển hướng người dùng đến các trang web hoặc quảng cáo trái phép.

Chế độ gian lận SEO : Xâm phạm nhiều máy chủ IIS để tăng thứ hạng công cụ tìm kiếm một cách giả tạo bằng cách sử dụng các liên kết ngược.

Gian lận SEO và Chiến thuật liên kết ngược

UAT-8099 sử dụng backlink, một chiến lược SEO tiêu chuẩn, để tăng khả năng hiển thị trang web. Google đánh giá backlink để khám phá các trang mới và đo lường mức độ liên quan của từ khóa. Mặc dù nhiều backlink có thể cải thiện thứ hạng, nhưng backlink kém chất lượng hoặc backlink giả có thể khiến Google phạt.

Bằng cách kết hợp triển khai phần mềm độc hại, sử dụng web shell và liên kết ngược chiến lược, UAT-8099 có thể thao túng kết quả tìm kiếm và kiếm tiền từ các máy chủ bị xâm phạm một cách hiệu quả, khiến chúng trở thành tác nhân có nguy cơ cao trong bối cảnh gian lận SEO.