Los investigadores de ciberseguridad están arrojando luz sobre un grupo cibercriminal de habla china llamado UAT-8099, que es causado por el fraude de optimización de motores de búsqueda (SEO) y robo de credenciales de alto valor, archivos de configuración y datos de certificados.
El ataque está diseñado para apuntar a la mayoría de las enfermedades infecciosas reportadas en India, Tailandia, Vietnam, Canadá y Brasil, así como muchas enfermedades infecciosas que se propagan a universidades, compañías tecnológicas y proveedores de telecomunicaciones. El grupo se descubrió por primera vez en abril de 2025. El objetivo es principalmente usuarios móviles, que cubre los dispositivos de Android y Apple iPhone.
UAT-8099 es el último actor relacionado con China involucrado en estafas de SEO para ganancias financieras. Como el mes pasado, ESET reveló detalles de otro actor de amenaza llamado Ghostredirector. Esto permitió que el módulo IIS malicioso comprometiera al menos 65 servidores de Windows que se encuentran principalmente en Vietnam con un módulo IIS malicioso llamado Gamshen para promover las estafas de SEO.
«UAT-8099 opera las clasificaciones de búsqueda centrándose en servidores IIS de renombre y muy valorados en la región objetivo», dice Jay Chen, investigador de Cisco Talos. «El grupo mantiene la persistencia y cambia las clasificaciones de SEO utilizando conchas web, herramientas de piratería de código abierto, ataques de cobalto y varios malware Badiis. Los scripts de automatización se personalizan para evitar defensas y ocultar la actividad».
Cuando se encuentra un servidor IIS vulnerable a través de una vulnerabilidad de seguridad o una configuración débil de las capacidades de carga de archivos del servidor web, el actor de amenaza usa el andamio para cargar un shell web para realizar un reconocimiento y recopilar información básica del sistema. Un grupo de piratería de motivación financiera luego permite que las cuentas invitadas intensifiquen privilegios al administrador y lo usen para habilitar el protocolo de escritorio remoto (RDP).
También se ha observado que UAT-8099 inserta una ruta de acceso inicial, mantiene solo el control del host comprometido y toma medidas para evitar que otros actores de amenazas dañen el mismo servidor. Además, los ataques de cobalto se implementarán como una puerta trasera favorable después de una explosión.
Para lograr la persistencia, RDP se combina con herramientas de VPN como VPN softsisted, EasyTier y un proxy inverso rápido (FRP). La cadena de ataque alcanza su pico con la instalación de malware Badiis. Es utilizado por múltiples grupos de amenazas de habla china, como DragonRank y Operation Rewrite (también conocido como CL-UNC-1037).
UAT-8099 utiliza RDP para acceder al servidor IIS y utilizar herramientas de interfaz gráfica de usuario (GUI) con nombre de nombre para buscar datos valiosos dentro de hosts comprometidos, revenderlo o empaquetarlo para utilizarlo. Actualmente, el número de servidores que el grupo ha comprometido actualmente no está claro.
Sin embargo, el malware BADIIS implementado en este caso es una variante que coordina la estructura del código y el flujo de trabajo funcional para evitar la detección del software antivirus. El componente operativo SEO funciona de manera similar a Gamshen, ya que solo patea cuando una solicitud proviene de Google (es decir, el agente de usuarios es Googlebot).
Badiis puede operar en tres modos diferentes –
El proxy que extrae la dirección del servidor de comando y control incrustado (C2) codificados y lo usa como proxy se usa como un proxy para recuperar contenido del inyector secundario del servidor C2 que intercepta las solicitudes de navegador causadas por los resultados de búsqueda de Google. Destino seleccionado (publicidad fraudulenta o sitio web de juego ilegal) estafa de SEO. Fomentar las estafas de SEO comprometiendo múltiples servidores IIS y proporcionando vínculos de retroceso para aumentar artificialmente la clasificación de sitios web
«Los actores están utilizando tecnología SEO tradicional llamada vínculos de retroceso para aumentar la visibilidad de sus sitios web», dijo Talos. «Los motores de búsqueda de Google usan vínculos de retroceso para descubrir sitios adicionales y evaluar la relevancia de las palabras clave».
«Una gran cantidad de vínculos de retroceso hace que sea más probable que Google Crawlers visiten su sitio. Esto acelera las mejoras de clasificación y mejore la exposición a la página web. Sin embargo, simplemente acumular los vínculos de retroceso, independientemente de la calidad, puede provocar sanciones de Google».
Source link
