Investigadores de ciberseguridad han descubierto una nueva campaña atribuida a un actor de amenazas vinculado a China conocido como UAT-8099 que tuvo lugar entre finales de 2025 y principios de 2026.
La actividad, descubierta por Cisco Talos, tenía como objetivo servidores vulnerables de Servicios de Información de Internet (IIS) en toda Asia, con especial atención a objetivos en Tailandia y Vietnam. Por el momento se desconoce la magnitud de la campaña.
«UAT-8099 utiliza un shell web y PowerShell para ejecutar scripts e implementar la herramienta GotoHTTP, permitiendo a los atacantes acceso remoto a servidores IIS vulnerables», dijo el investigador de seguridad Joey Chen en un desglose de la campaña el jueves.
UAT-8099 fue documentado por primera vez por una empresa de ciberseguridad en octubre de 2025, y detalla que los atacantes explotan servidores IIS ubicados en India, Tailandia, Vietnam, Canadá y Brasil para facilitar el fraude en la optimización de motores de búsqueda (SEO). Este ataque implica infectar servidores con un conocido malware llamado BadIIS.
Se cree que el grupo de piratas informáticos es de origen chino, y los ataques se remontan a abril de 2025. Este grupo de amenazas también comparte similitudes con otra campaña de BadIIS con nombre en código WEBJACK desarrollada por el proveedor finlandés de ciberseguridad WithSecure en noviembre de 2025, basada en herramientas superpuestas, infraestructura de comando y control (C2) y huellas de las víctimas.
La última campaña se centró en comprometer servidores IIS en India, Pakistán, Tailandia, Vietnam y Japón, y Cisco dijo que observó una «distinguida concentración de ataques» en Tailandia y Vietnam.
«Los actores de amenazas siguen dependiendo de web shells, SoftEther VPN y EasyTier para controlar los servidores IIS comprometidos, pero sus estrategias operativas han evolucionado significativamente», explica Talos. «En primer lugar, esta última campaña señala un cambio hacia tácticas de SEO de sombrero negro más centradas geográficamente. En segundo lugar, este actor de amenazas está aprovechando cada vez más las utilidades del equipo rojo y las herramientas legítimas para evadir la detección y mantener la viabilidad a largo plazo».
La cadena de ataque generalmente comienza cuando el UAT-8099 obtiene acceso inicial a un servidor IIS al explotar una vulnerabilidad de seguridad o una configuración débil en la funcionalidad de carga de archivos del servidor web. Después de esto, el actor de amenazas comienza una serie de pasos para implementar una carga útil maliciosa.
Ejecute comandos de descubrimiento y reconocimiento para recopilar información del sistema. Implemente herramientas VPN y cree una cuenta de usuario oculta llamada «admin$» para establecer la persistencia. Utilice nuevas herramientas como Sharp4RemoveLog (elimina registros de eventos de Windows), CnCrypt Protect (oculte archivos maliciosos), OpenArk64 (anti-rootkit de código abierto para finalizar procesos de productos de seguridad) y GotoHTTP (control remoto de servidores). Utilice la cuenta recién creada. Implementación de malware BadIIS.
A medida que los productos de seguridad toman medidas para marcar la cuenta «admin$», los atacantes agregan una nueva verificación para ver si el nombre está bloqueado y, de ser así, proceden a crear una nueva cuenta de usuario llamada «mysql$» para mantener el acceso y ejecutar el servicio de fraude BadIIS SEO sin interrupción. Además, se ha observado que UAT-8099 crea más cuentas ocultas para garantizar la persistencia.
Otro cambio notable gira en torno al uso de GotoHTTP para controlar de forma remota los servidores infectados. Esta herramienta se inicia mediante un script de Visual Basic que se descarga mediante un comando de PowerShell que se ejecuta después de implementar el shell web.
El malware BadIIS introducido en el ataque son dos nuevas variantes personalizadas para apuntar a regiones específicas. BadIIS IISHijack identifica víctimas en Vietnam, mientras que BadIIS asdSearchEngine se dirige principalmente a objetivos tailandeses o a usuarios que prefieren el idioma tailandés.
El objetivo final del malware permanece prácticamente sin cambios. Analiza las solicitudes entrantes a su servidor IIS para determinar si el visitante es un rastreador de motor de búsqueda. En ese caso, el rastreador será redirigido a un sitio fraudulento de SEO. Sin embargo, si la solicitud proviene de un usuario normal y el encabezado Accept-Language de la solicitud indica tailandés, se inyecta HTML que contiene una redirección de JavaScript maliciosa en la respuesta.
Cisco Talos anunció que ha identificado tres variantes diferentes dentro del clúster BadIIS asdSearchEngine.
Variantes exclusivas de múltiples extensiones. Comprueba las rutas de los archivos en las solicitudes e ignora las extensiones en la lista de exclusión que consumen muchos recursos o pueden interferir con la apariencia de su sitio web. Variante de carga de plantilla HTML. Incluye un sistema de generación de plantillas HTML que crea dinámicamente contenido web cargando plantillas desde el disco o usando alternativas integradas para reemplazar marcadores de posición con datos aleatorios, fechas y contenido derivado de URL. Variante de índice de directorio/extensión de página dinámica. La ruta solicitada es una extensión de página dinámica o un índice de directorio.
Con respecto a la tercera variante, Talos dijo: «Creemos que el actor de amenazas UAT-8099 implementó esta característica para priorizar la orientación de contenido SEO mientras se mantiene el sigilo».
«Debido a que el envenenamiento de SEO se basa en la inyección de enlaces JavaScript en páginas que son rastreadas por los motores de búsqueda, el malware se centra en páginas dinámicas donde estas inyecciones son más efectivas (default.aspx, index.php, etc.). Además, al restringir el enlace a otros tipos de archivos específicos, el malware evita el procesamiento de archivos estáticos incompatibles, evitando así la generación de registros de errores de servidor sospechosos».
También hay indicios de que los atacantes están mejorando activamente la versión Linux de BadIIS. Los artefactos binarios ELF cargados en VirusTotal a principios de octubre de 2025 todavía incluyen proxies, inyectores y modos de fraude SEO, pero ahora se limitan a los motores de búsqueda de Google, Microsoft Bing y Yahoo!.
Source link
