Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Campaña de fraude SEO UAT-8099

Campaña de fraude SEO UAT-8099

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Investigadores de ciberseguridad han descubierto recientemente un grupo de ciberdelincuentes de habla china, cuyo nombre en código es UAT-8099, responsable de sofisticados ataques dirigidos a servidores de Microsoft Internet Information Services (IIS). Este grupo se dedica al fraude de optimización de motores de búsqueda (SEO) y al robo de credenciales, archivos de configuración y datos de certificados de gran valor, lo que supone un riesgo significativo para organizaciones de todo el mundo.

Alcance global y perfil objetivo

La actividad del grupo se ha observado principalmente en India, Tailandia, Vietnam, Canadá y Brasil, afectando a universidades, empresas tecnológicas y proveedores de telecomunicaciones. Detectados por primera vez en abril de 2025, los ataques de UAT-8099 se centran principalmente en usuarios móviles, abarcando dispositivos Android e iOS.

Este actor forma parte de una creciente ola de grupos de amenazas vinculados a China que se dedican al fraude SEO. Para contextualizar, una campaña reciente de otro actor, GhostRedirector, comprometió al menos 65 servidores Windows mediante un módulo IIS malicioso con nombre en código Gamshen, dirigido a regiones similares.

Métodos de ataque y acceso inicial

UAT-8099 selecciona cuidadosamente servidores IIS de alto valor en las regiones objetivo y aprovecha vulnerabilidades de seguridad o configuraciones de carga de archivos deficientes. Su enfoque implica:

  • Carga de shells web para recopilar información del sistema.
  • Escalar privilegios a través de la cuenta de invitado, alcanzando acceso a nivel de administrador.
  • Habilitar el Protocolo de Escritorio Remoto (RDP) para acceso continuo.

El grupo también toma medidas para asegurar su presencia inicial, impidiendo que otros actores de amenazas comprometan los mismos servidores. Cobalt Strike se implementa como la puerta trasera principal para la actividad posterior a la explotación.

Persistencia e implementación de malware

Para mantener el control a largo plazo, UAT-8099 combina RDP con herramientas VPN como SoftEther VPN, EasyTier y Fast Reverse Proxy (FRP). La cadena de ataque culmina con la instalación del malware BadIIS, una herramienta utilizada por varios clústeres de habla china, como DragonRank y Operation Rewrite (CL-UNK-1037).

Una vez dentro, el actor utiliza herramientas de interfaz gráfica de usuario como Everything para localizar y extraer datos valiosos para su reventa o posterior explotación. Se desconoce el número exacto de servidores comprometidos.

El malware BadIIS: modos y funcionalidad

La variante de BadIIS implementada se ha modificado específicamente para evadir la detección antivirus y replica la funcionalidad de Gamshen. Su manipulación SEO solo se activa cuando las solicitudes provienen del robot de Google. BadIIS opera en tres modos principales:

Modo proxy : extrae direcciones de servidores C2 codificadas y las utiliza como servidores proxy para recuperar contenido de servidores secundarios.

Modo inyector : intercepta las solicitudes del navegador de los resultados de búsqueda de Google, recupera JavaScript del servidor C2, lo integra en la respuesta HTML y redirige a los usuarios a sitios o anuncios no autorizados.

Modo de fraude SEO : compromete varios servidores IIS para mejorar artificialmente las clasificaciones de los motores de búsqueda mediante vínculos de retroceso.

Fraude SEO y tácticas de backlinks

UAT-8099 utiliza backlinks, una estrategia SEO estándar, para aumentar la visibilidad del sitio web. Google evalúa los backlinks para descubrir nuevas páginas y medir la relevancia de las palabras clave. Si bien un mayor número de backlinks puede mejorar el posicionamiento, los backlinks de baja calidad o artificiales pueden generar penalizaciones por parte de Google.

Al combinar la implementación de malware, el uso de shell web y la creación de vínculos de retroceso estratégicos, UAT-8099 puede manipular los resultados de búsqueda y monetizar servidores comprometidos de manera efectiva, lo que los convierte en un actor de alto riesgo en el panorama del fraude de SEO.

Tendencias

Mas Visto

Cargando...