UAT-8099 SEO欺诈活动

网络安全研究人员最近发现了一个代号为 UAT-8099 的中文网络犯罪组织，该组织针对微软互联网信息服务 (IIS) 服务器发起了复杂的攻击。该组织从事搜索引擎优化 (SEO) 欺诈以及高价值凭证、配置文件和证书数据的窃取，对全球组织构成重大风险。

全球影响力和目标概况

该组织的活动主要集中在印度、泰国、越南、加拿大和巴西，影响到大学、科技公司和电信运营商。UAT-8099 于 2025 年 4 月首次被发现，其攻击主要针对移动用户，涵盖 Android 和 iOS 设备。

该攻击者是日益壮大的与中国相关的 SEO 欺诈威胁团伙的一部分。作为背景信息，另一个攻击者 GhostRedirector 最近发起的攻击活动利用代号为 Gamshen 的恶意 IIS 模块入侵了至少 65 台 Windows 服务器，攻击目标与中国类似。

攻击方法和初始访问

UAT-8099 会精心挑选目标区域中的高价值 IIS 服务器，并利用安全漏洞或薄弱的文件上传配置。其方法包括：

• 上传 Web Shell 来收集系统信息。
• 通过访客帐户提升权限，达到管理员级别的访问权限。
• 启用远程桌面协议 (RDP) 以继续访问。

该组织还采取措施巩固初始立足点，防止其他威胁行为者入侵同一服务器。Cobalt Strike 被部署为后续攻击活动的主要后门。

持久性和恶意软件部署

为了保持长期控制，UAT-8099 将 RDP 与 SoftEther VPN、EasyTier 和快速反向代理 (FRP) 等 VPN 工具相结合。攻击链的最终目标是安装 BadIIS 恶意软件，该恶意软件被多个中文攻击集群（包括 DragonRank 和 Operation Rewrite (CL-UNK-1037)）使用。

一旦进入系统，攻击者就会使用 Everything 等 GUI 工具来定位并窃取有价值的数据，用于转售或进一步利用。目前，受感染服务器的具体数量尚不清楚。

BadIIS 恶意软件：模式和功能

已部署的 BadIIS 变种经过专门修改，可逃避杀毒软件检测，其功能与 Gamshen 类似。只有当请求来自 Googlebot 时，其 SEO 操纵才会激活。BadIIS 主要有三种运作模式：

代理模式：提取编码的 C2 服务器地址并将其用作代理从辅助服务器检索内容。

注入器模式：拦截来自 Google 搜索结果的浏览器请求，从 C2 服务器检索 JavaScript，将其嵌入到 HTML 响应中，并将用户重定向到未经授权的网站或广告。

SEO欺诈模式：破坏多个IIS服务器，使用反向链接人为提高搜索引擎排名。

SEO欺诈和反向链接策略

UAT-8099 采用反向链接（一种标准的 SEO 策略）来提升网站曝光度。Google 会评估反向链接，以发现新页面并衡量关键词相关性。虽然更多反向链接可以提升排名，但质量低劣或虚假的反向链接可能会受到 Google 的惩罚。

通过结合恶意软件部署、Web Shell 使用和战略反向链接，UAT-8099 能够操纵搜索结果并有效地将受感染的服务器货币化，使其成为 SEO 欺诈领域的高风险行为者。