Китайскоязычная киберпреступная группировка, получившая кодовое название UAT-8099, проводит глобальную операцию, нацеленную на мошенничество с поисковой оптимизацией (SEO) и кражу данных. Согласно данным, полученным в апреле 2025 года, основной мотивацией группы является финансовая выгода, которую она извлекает, компрометируя серверы Microsoft Internet Information Services (IIS) по всему миру.
Основными целями хакеров становятся серверы IIS, принадлежащие университетам, технологическим компаниям и провайдерам телекоммуникационных услуг. Географически наибольшее число заражений зафиксировано в Индии, Таиланде, Вьетнаме, Канаде и Бразилии. Конечными жертвами атаки становятся мобильные пользователи устройств на базе Android и Apple iPhone, которых перенаправляют на вредоносные сайты.
Атака начинается с эксплуатации уязвимостей или слабых настроек в функции загрузки файлов на IIS-сервере. Первым шагом злоумышленники загружают веб-шеллы, которые используются для первичного сбора информации о скомпрометированной системе. Получив первоначальный доступ, группа активирует гостевую учетную запись и повышает ее привилегии до уровня администратора.
Для обеспечения прямого контроля над сервером UAT-8099 активирует протокол удаленного рабочего стола (RDP). Важной особенностью их тактики является немедленное устранение исходной уязвимости после взлома. Это делается для того, чтобы закрепить за собой эксклюзивный доступ к серверу и предотвратить его компрометацию другими хакерскими группами.
Для сохранения долгосрочного доступа и проведения дальнейших действий злоумышленники развертывают бэкдор Cobalt Strike. Постоянное присутствие в системе поддерживается с помощью RDP в сочетании с различными VPN-инструментами, такими как SoftEther VPN, EasyTier и Fast Reverse Proxy (FRP). Поиск ценных данных на хосте осуществляется с помощью GUI-инструмента Everything, после чего найденная информация упаковывается для перепродажи или дальнейшего использования.
Ключевым инструментом в арсенале UAT-8099 является вредоносное ПО BadIIS. Группировка использует модифицированный вариант этого вредоноса с измененной структурой кода и рабочим процессом, что позволяет ему эффективно уклоняться от обнаружения антивирусными программами. Компонент, отвечающий за SEO-манипуляции, активируется только в том случае, если веб-запрос исходит от поискового робота Google, то есть когда User-Agent идентифицируется как Googlebot.
BadIIS функционирует в трех основных режимах. В режиме прокси он извлекает встроенный адрес командного сервера (C2) и использует его для получения контента с вторичного C2-сервера. В режиме инжектора вредонос перехватывает запросы браузера, поступающие из результатов поиска Google, подключается к C2-серверу для получения вредоносного JavaScript-кода и внедряет его в HTML-ответ, перенаправляя жертву на сайты с несанкционированной рекламой или нелегальными азартными играми.
В режиме SEO-мошенничества BadIIS использует скомпрометированные IIS-серверы для размещения обратных ссылок (backlinks). Этот метод искусственно повышает рейтинг определенных веб-сайтов в поисковой выдаче Google. Поисковый движок использует обратные ссылки для обнаружения сайтов и оценки их релевантности по ключевым словам. Большое количество ссылок с авторитетных серверов заставляет поисковых роботов Google чаще посещать продвигаемый сайт, что ускоряет рост его позиций.
Исследование этой кампании было проведено организацией Cisco Talos, в частности ее исследователем Джоуи Ченом. Отмечается, что схожей деятельностью занимаются и другие группы. Компания ESET ранее сообщала о группировке GhostRedirector, также связанной с Китаем, которая скомпрометировала не менее 65 серверов Windows в Бразилии, Таиланде и Вьетнаме с помощью вредоносного IIS-модуля Gamshen.
Вредоносное ПО BadIIS также было замечено в арсенале других китайскоязычных хакерских кластеров, включая DragonRank и группу, стоящую за кампанией Operation Rewrite (также известной как CL-UNK-1037). Это указывает на широкое распространение данного инструмента среди киберпреступников, специализирующихся на SEO-мошенничестве.
Изображение носит иллюстративный характер
Основными целями хакеров становятся серверы IIS, принадлежащие университетам, технологическим компаниям и провайдерам телекоммуникационных услуг. Географически наибольшее число заражений зафиксировано в Индии, Таиланде, Вьетнаме, Канаде и Бразилии. Конечными жертвами атаки становятся мобильные пользователи устройств на базе Android и Apple iPhone, которых перенаправляют на вредоносные сайты.
Атака начинается с эксплуатации уязвимостей или слабых настроек в функции загрузки файлов на IIS-сервере. Первым шагом злоумышленники загружают веб-шеллы, которые используются для первичного сбора информации о скомпрометированной системе. Получив первоначальный доступ, группа активирует гостевую учетную запись и повышает ее привилегии до уровня администратора.
Для обеспечения прямого контроля над сервером UAT-8099 активирует протокол удаленного рабочего стола (RDP). Важной особенностью их тактики является немедленное устранение исходной уязвимости после взлома. Это делается для того, чтобы закрепить за собой эксклюзивный доступ к серверу и предотвратить его компрометацию другими хакерскими группами.
Для сохранения долгосрочного доступа и проведения дальнейших действий злоумышленники развертывают бэкдор Cobalt Strike. Постоянное присутствие в системе поддерживается с помощью RDP в сочетании с различными VPN-инструментами, такими как SoftEther VPN, EasyTier и Fast Reverse Proxy (FRP). Поиск ценных данных на хосте осуществляется с помощью GUI-инструмента Everything, после чего найденная информация упаковывается для перепродажи или дальнейшего использования.
Ключевым инструментом в арсенале UAT-8099 является вредоносное ПО BadIIS. Группировка использует модифицированный вариант этого вредоноса с измененной структурой кода и рабочим процессом, что позволяет ему эффективно уклоняться от обнаружения антивирусными программами. Компонент, отвечающий за SEO-манипуляции, активируется только в том случае, если веб-запрос исходит от поискового робота Google, то есть когда User-Agent идентифицируется как Googlebot.
BadIIS функционирует в трех основных режимах. В режиме прокси он извлекает встроенный адрес командного сервера (C2) и использует его для получения контента с вторичного C2-сервера. В режиме инжектора вредонос перехватывает запросы браузера, поступающие из результатов поиска Google, подключается к C2-серверу для получения вредоносного JavaScript-кода и внедряет его в HTML-ответ, перенаправляя жертву на сайты с несанкционированной рекламой или нелегальными азартными играми.
В режиме SEO-мошенничества BadIIS использует скомпрометированные IIS-серверы для размещения обратных ссылок (backlinks). Этот метод искусственно повышает рейтинг определенных веб-сайтов в поисковой выдаче Google. Поисковый движок использует обратные ссылки для обнаружения сайтов и оценки их релевантности по ключевым словам. Большое количество ссылок с авторитетных серверов заставляет поисковых роботов Google чаще посещать продвигаемый сайт, что ускоряет рост его позиций.
Исследование этой кампании было проведено организацией Cisco Talos, в частности ее исследователем Джоуи Ченом. Отмечается, что схожей деятельностью занимаются и другие группы. Компания ESET ранее сообщала о группировке GhostRedirector, также связанной с Китаем, которая скомпрометировала не менее 65 серверов Windows в Бразилии, Таиланде и Вьетнаме с помощью вредоносного IIS-модуля Gamshen.
Вредоносное ПО BadIIS также было замечено в арсенале других китайскоязычных хакерских кластеров, включая DragonRank и группу, стоящую за кампанией Operation Rewrite (также известной как CL-UNK-1037). Это указывает на широкое распространение данного инструмента среди киберпреступников, специализирующихся на SEO-мошенничестве.
