Grupo cibercriminoso chinês opera esquema global de fraude SEO usando servidores IIS comprometidos

Pesquisadores de segurança cibernética identificaram um grupo de cibercrime de língua chinesa chamado UAT-8099 envolvido em fraudes de otimização de mecanismos de busca (SEO) e roubo de credenciais de alto valor, arquivos de configuração e dados de certificados.

Os ataques visam servidores Microsoft Internet Information Services (IIS), com a maioria das infecções relatadas na Índia, Tailândia, Vietnã, Canadá e Brasil, atingindo universidades, empresas de tecnologia e provedores de telecomunicações. O grupo foi descoberto pela primeira vez em abril de 2025.

Técnicas de ataque

• Acesso inicial: Explora vulnerabilidades de segurança ou configurações fracas no recurso de upload de arquivos do servidor web
• Persistência: Usa web shells, Cobalt Strike, ferramentas VPN (SoftEther VPN, EasyTier, FRP) e Remote Desktop Protocol (RDP)
• Escalação de privilégios: Habilita a conta de convidado para elevar privilégios até administrador
• Malware BadIIS: Variante modificada para evitar detecção por software antivírus

Funcionalidades do malware BadIIS

• Modo Proxy: Extrai endereços de servidores de comando e controle (C2)
• Modo Injector: Intercepta solicitações do Google e injeta código JavaScript para redirecionar vítimas
• Fraude SEO: Compromete múltiplos servidores IIS para criar backlinks artificiais e aumentar classificações de sites

Objetivo financeiro

O grupo usa RDP para acessar servidores comprometidos e busca dados valiosos usando a ferramenta Everything, que são então empacotados para revenda ou exploração adicional. A fraude SEO visa direcionar usuários para anúncios não autorizados e sites de apostas ilegais.

Esta é mais uma operação de cibercrime ligada à China envolvendo fraudes de SEO para ganho financeiro, seguindo padrões semelhantes a outros grupos como GhostRedirector, DragonRank e Operation Rewrite.