Servidores IIS comprometidos por hackers chineses para manipulação de SEO

Servidores IIS comprometidos por hackers chineses para manipulação de SEO

A Cisco Talos revelou que o UAT-8099, um grupo de crime cibernético de língua chinesa, vem explorando servidores vulneráveis ​​de serviços de informação na Internet (IIS) em vários países para conduzir Otimização do mecanismo de pesquisa (SEO) Fraude e roubar dados de alto valor.

Identificada em abril de 2025, este grupo tem como alvo servidores respeitáveis ​​do IIS na Índia, Tailândia, Vietnã, Canadá e Brasil, com foco em organizações como universidades, empresas de tecnologia e fornecedores de telecomunicações.

Seu principal objetivo é aumentar o ranking de pesquisa de sites maliciosos e redirecionar o tráfego legítimo para anúncios não autorizados e plataformas ilegais de jogo.

Visão geral da campanha

A campanha UAT-8099 começa com o reconhecimento em servidores IIS não patches que permitem uploads de arquivos irrestritos.

Depois que uma vulnerabilidade é encontrada, os atores de ameaças carregam um shell da web ASP.NET de código aberto para executar comandos e reunir informações do sistema.

Esse acesso inicial permite que eles criem e elevem uma conta de usuário convidado aos privilégios do administrador, permitindo o acesso ao RDP (Remote Desktop Protocol).

O grupo então implanta conchas da Web e usa ferramentas de hackers de código aberto ao lado do ataque de cobalto para estabelecer e manter a persistência.

Cisco Talos descoberto Várias novas variantes de malware Badiis nesta campanha, incluindo clusters com detecção de antivírus mínima e aqueles que contêm mensagens de depuração chinesa simplificadas.

Após obter acesso inicial, o UAT-8099 assegura o controle de longo prazo, ativando o RDP, instalando o Softether VPN, usando a ferramenta VPN descentralizada easyTier e a configuração do proxy reverso do FRP.

Eles escalam privilégios com ferramentas públicas, dump credenciais usando o ProcDump e compactam dados roubados com Winrar. Para bloquear outros atacantes, eles instalam o D_SAFE_MANAGE, uma ferramenta conhecida de segurança do Windows IIS.

Os scripts de automação do grupo otimizam tarefas como instalação de módulos, configuração de RDP e criação de tarefas programadas para margar um berçal de cobalto sob o disfarce de um provedor de código WMI legítimo.

As defesas em camadas e os scripts personalizados os ajudam a evitar a detecção e a manter o acesso ininterrupto a servidores comprometidos.

Manipulação e impacto de SEO

Depois que a persistência é estabelecida, o malware badiis é usado para manipular rastreadores de mecanismos de busca e visitantes humanos.

O manipulador OnBeginRequest verifica os cabeçalhos HTTP quanto aos valores do agente de usuário e do referente para determinar se atuam como proxy ou injetar javascript malicioso.

Quando o Googlebot é detectado, o malware serve conteúdo ou backlinks criados para inflar rankings de pesquisa. Para usuários humanos referidos nos mecanismos de pesquisa, ele injeta JavaScript que redireciona os navegadores para sites de jogos de azar ou anúncio.

O manipulador OnsendResponse aprimora ainda mais a fraude, fornecendo conteúdo focado em SEO projetado especificamente para rastreadores, seguido de redirecionamentos direcionados para os usuários que encontram páginas de erro.

Ao comprometer vários servidores do IIS em todo o mundo, o UAT-8099 cria uma rede de sites de alta realização que aumentam coletivamente a visibilidade de seus destinos maliciosos.

Os usuários móveis nos dispositivos Android e iOS são particularmente afetados, pois os servidores comprometidos servem páginas de download de aplicativos APK e iOS personalizados.

A Cisco Talos continua monitorando esta campanha, pedindo às organizações que protejam seus servidores do IIS aplicando os patches mais recentes, restringindo os tipos de upload de arquivos, aplicando políticas de contas fortes e implantando soluções robustas de monitoramento.

A falha em abordar essas vulnerabilidades não apenas corre o risco de interrupção operacional, mas também facilita a fraude de SEO em larga escala e o roubo de credenciais.

Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas e definir GBH como uma fonte preferida em Google.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.