Investigadores de ciberseguridad han descubierto una nueva campaña atribuida a un actor de amenazas vinculado a China conocido como UAT-8099 que tuvo extensión entre finales de 2025 y principios de 2026.
La actividad, descubierta por Cisco Talos, se ha dirigido a servidores vulnerables de Servicios de Información de Internet (IIS) ubicados en toda Asia, pero con un enfoque específico en objetivos en Tailandia y Vietnam. Actualmente se desconoce la escalera de la campaña.
“UAT-8099 utiliza shells web y PowerShell para ejecutar scripts e implementar la útil GotoHTTP, otorgando al actor de amenazas acercamiento remoto a servidores IIS vulnerables”, dijo el investigador de seguridad Joey Chen en un desglose de la campaña el jueves.
UAT-8099 fue documentado por primera vez por la empresa de ciberseguridad en octubre de 2025, y detalla la explotación de servidores IIS por parte del actor de amenazas en India, Tailandia, Vietnam, Canadá y Brasil para favorecer el fraude de optimización de motores de búsqueda (SEO). Los ataques implican infectar los servidores con un conocido malware denominado BadIIS.
Se considera que el orden de piratas informáticos es de origen chino, y los ataques se remontan a abril de 2025. El orden de amenazas igualmente comparte similitudes con otra campaña de BadIIS con nombre en código WEBJACK del proveedor finlandés de ciberseguridad WithSecure en noviembre de 2025, basada en superposiciones en herramientas, infraestructura de comando y control (C2) y huella de victimología.
La última campaña se centra en comprometer servidores IIS ubicados en India, Pakistán, Tailandia, Vietnam y Japón, aunque Cisco dijo que observó una “clara concentración de ataques” en Tailandia y Vietnam.
“Si perfectamente el actor de amenazas continúa confiando en web shells, SoftEther VPN y EasyTier para controlar los servidores IIS comprometidos, su organización operativa ha evolucionado significativamente”, explicó Talos. “En primer extensión, esta última campaña marca un cambio en sus tácticas de SEO de sombrero enojado cerca de un enfoque regional más específico. En segundo extensión, el actor aprovecha cada vez más las utilidades del equipo rojo y las herramientas legítimas para eludir la detección y amparar la persistencia a dadivoso plazo”.
La esclavitud de ataque comienza cuando el UAT-8099 obtiene acercamiento auténtico a un servidor IIS, normalmente aprovechando una vulnerabilidad de seguridad o una configuración débil en la función de carga de archivos del servidor web. A esto le sigue el actor de amenazas que inicia una serie de pasos para implementar cargas aperos maliciosas:
- Ejecutar comandos de descubrimiento y agradecimiento para resumir información del sistema.
- Implemente herramientas VPN y establezca persistencia creando una cuenta de legatario oculta indicación “admin$”
- Propalar nuevas herramientas como Sharp4RemoveLog (eliminar registros de eventos de Windows), CnCrypt Protect (ocultar archivos maliciosos), OpenArk64 (anti-rootkit de código amplio para finalizar procesos de productos de seguridad) y GotoHTTP (control remoto del servidor)
- Implemente el malware BadIIS utilizando la cuenta recién creada
Mientras los productos de seguridad toman medidas para marcar la cuenta “admin$”, el actor de amenazas agregó una nueva comprobación para compulsar si el nombre está bloqueado y, de ser así, procede a crear una nueva cuenta de legatario indicación “mysql$” para amparar el acercamiento y ejecutar el servicio de fraude BadIIS SEO sin ninguna interrupción. Encima, se ha observado que UAT-8099 crea más cuentas ocultas para asegurar la persistencia.
Otro cambio importante tournée en torno al uso de GotoHTTP para controlar de forma remota el servidor infectado. La útil se inicia mediante un script de Visual Basic que se descarga mediante un comando de PowerShell que se ejecuta luego de la implementación de un shell web.
El malware BadIIS implementado en los ataques consta de dos nuevas variantes personalizadas para apuntar a regiones específicas: mientras que BadIIS IISHijack selecciona víctimas en Vietnam, BadIIS asdSearchEngine está dirigido principalmente a objetivos en Tailandia o a usuarios con preferencias de idioma tailandés.
El objetivo final del malware sigue siendo en gran medida el mismo. Escanea las solicitudes entrantes a los servidores IIS para comprobar si el visitante es un rastreador de motor de búsqueda. Si ese es el caso, el rastreador es redirigido a un sitio fraudulento de SEO. Sin retención, si la solicitud proviene de un legatario habitual y el encabezado Accept-Language de la solicitud indica tailandés, inyecta HTML que contiene una redirección de JavaScript maliciosa en la respuesta.
Cisco Talos dijo que identificó tres variantes distintas interiormente del clúster BadIIS asdSearchEngine:
- Transformación monopolio de múltiples extensiones, que verifica la ruta del archivo en la solicitud y la ignora si contiene una extensión en su serie de pega que puede consumir muchos capital o dificultar la apariencia del sitio web.
- Cargar variable de plantillas HTML, que contiene un sistema de gestación de plantillas HTML para crear dinámicamente contenido web cargando plantillas desde el disco o usando alternativas integradas y reemplazando marcadores de posición con datos aleatorios, fechas y contenido derivado de URL.
- Transformación de extensión de página dinámica/índice de directorio, que comprueba si una ruta solicitada corresponde a una extensión de página dinámica o un índice de directorio
“Evaluamos que el actor de la amenaza, UAT-8099, implementó esta característica para priorizar la orientación del contenido SEO mientras se mantiene el sigilo”, dijo Talos sobre la tercera variable.
“Donado que el envenenamiento de SEO se friso en inyectar enlaces JavaScript en páginas que rastrean los motores de búsqueda, el malware se centra en páginas dinámicas (por ejemplo, default.aspx, index.php) donde estas inyecciones son más efectivas. Encima, al restringir los enlaces a otros tipos de archivos específicos, el malware evita procesar archivos estáticos incompatibles, evitando así la gestación de registros de errores sospechosos del servidor”.
Asimismo hay indicios de que el actor de amenazas está perfeccionando activamente su interpretación Linux de BadIIS. Un artefacto binario ELF subido a VirusTotal a principios de octubre de 2025 incluye modos de fraude de proxy, inyector y SEO como antaño, al tiempo que limita los motores de búsqueda específicos a solo rastreadores de Google, Microsoft Bing y Yahoo.
