Título: Servidores IIS comprometidos por hackers chineses para manipulação de SEO
Data: 2025-10-03 08:05:31
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/servidores-iis-comprometidos-por-hackers-chineses-para-manipulacao-de-seo/1788/

A Cisco Talos revelou que o UAT-8099, um grupo de crime cibern&eacute;tico de l&iacute;ngua chinesa, vem explorando servidores vulner&aacute;veis &#8203;&#8203;de servi&ccedil;os de informa&ccedil;&atilde;o na Internet (IIS) em v&aacute;rios pa&iacute;ses para conduzir Otimiza&ccedil;&atilde;o do mecanismo de pesquisa (SEO) Fraude e roubar dados de alto valor.
Identificada em abril de 2025, este grupo tem como alvo servidores respeit&aacute;veis &#8203;&#8203;do IIS na &Iacute;ndia, Tail&acirc;ndia, Vietn&atilde;, Canad&aacute; e Brasil, com foco em organiza&ccedil;&otilde;es como universidades, empresas de tecnologia e fornecedores de telecomunica&ccedil;&otilde;es.
Seu principal objetivo &eacute; aumentar o ranking de pesquisa de sites maliciosos e redirecionar o tr&aacute;fego leg&iacute;timo para an&uacute;ncios n&atilde;o autorizados e plataformas ilegais de jogo.
Vis&atilde;o geral da campanha
A campanha UAT-8099 come&ccedil;a com o reconhecimento em servidores IIS n&atilde;o patches que permitem uploads de arquivos irrestritos.
Depois que uma vulnerabilidade &eacute; encontrada, os atores de amea&ccedil;as carregam um shell da web ASP.NET de c&oacute;digo aberto para executar comandos e reunir informa&ccedil;&otilde;es do sistema.
Esse acesso inicial permite que eles criem e elevem uma conta de usu&aacute;rio convidado aos privil&eacute;gios do administrador, permitindo o acesso ao RDP (Remote Desktop Protocol).
O grupo ent&atilde;o implanta conchas da Web e usa ferramentas de hackers de c&oacute;digo aberto ao lado do ataque de cobalto para estabelecer e manter a persist&ecirc;ncia.
Cisco Talos descoberto V&aacute;rias novas variantes de malware Badiis nesta campanha, incluindo clusters com detec&ccedil;&atilde;o de antiv&iacute;rus m&iacute;nima e aqueles que cont&ecirc;m mensagens de depura&ccedil;&atilde;o chinesa simplificadas.
Ap&oacute;s obter acesso inicial, o UAT-8099 assegura o controle de longo prazo, ativando o RDP, instalando o Softether VPN, usando a ferramenta VPN descentralizada easyTier e a configura&ccedil;&atilde;o do proxy reverso do FRP.
Eles escalam privil&eacute;gios com ferramentas p&uacute;blicas, dump credenciais usando o ProcDump e compactam dados roubados com Winrar. Para bloquear outros atacantes, eles instalam o D_SAFE_MANAGE, uma ferramenta conhecida de seguran&ccedil;a do Windows IIS.
Os scripts de automa&ccedil;&atilde;o do grupo otimizam tarefas como instala&ccedil;&atilde;o de m&oacute;dulos, configura&ccedil;&atilde;o de RDP e cria&ccedil;&atilde;o de tarefas programadas para margar um ber&ccedil;al de cobalto sob o disfarce de um provedor de c&oacute;digo WMI leg&iacute;timo.
As defesas em camadas e os scripts personalizados os ajudam a evitar a detec&ccedil;&atilde;o e a manter o acesso ininterrupto a servidores comprometidos.
Manipula&ccedil;&atilde;o e impacto de SEO
Depois que a persist&ecirc;ncia &eacute; estabelecida, o malware badiis &eacute; usado para manipular rastreadores de mecanismos de busca e visitantes humanos.
O manipulador OnBeginRequest verifica os cabe&ccedil;alhos HTTP quanto aos valores do agente de usu&aacute;rio e do referente para determinar se atuam como proxy ou injetar javascript malicioso.
Quando o Googlebot &eacute; detectado, o malware serve conte&uacute;do ou backlinks criados para inflar rankings de pesquisa. Para usu&aacute;rios humanos referidos nos mecanismos de pesquisa, ele injeta JavaScript que redireciona os navegadores para sites de jogos de azar ou an&uacute;ncio.
O manipulador OnsendResponse aprimora ainda mais a fraude, fornecendo conte&uacute;do focado em SEO projetado especificamente para rastreadores, seguido de redirecionamentos direcionados para os usu&aacute;rios que encontram p&aacute;ginas de erro.
Ao comprometer v&aacute;rios servidores do IIS em todo o mundo, o UAT-8099 cria uma rede de sites de alta realiza&ccedil;&atilde;o que aumentam coletivamente a visibilidade de seus destinos maliciosos.
Os usu&aacute;rios m&oacute;veis nos dispositivos Android e iOS s&atilde;o particularmente afetados, pois os servidores comprometidos servem p&aacute;ginas de download de aplicativos APK e iOS personalizados.
A Cisco Talos continua monitorando esta campanha, pedindo &agrave;s organiza&ccedil;&otilde;es que protejam seus servidores do IIS aplicando os patches mais recentes, restringindo os tipos de upload de arquivos, aplicando pol&iacute;ticas de contas fortes e implantando solu&ccedil;&otilde;es robustas de monitoramento.
A falha em abordar essas vulnerabilidades n&atilde;o apenas corre o risco de interrup&ccedil;&atilde;o operacional, mas tamb&eacute;m facilita a fraude de SEO em larga escala e o roubo de credenciais.
Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualiza&ccedil;&otilde;es instant&acirc;neas e definir GBH como uma fonte preferida em Google.