La campagne de l’UAT-8099 a commencé à cibler les serveurs Web faiblement sécurisés dans plusieurs pays en avril.
Un groupe de cybercrimes de langue chinois cible agressivement les serveurs Web de serveur d’informations Internet vulnérables (IIS) à utiliser dans la fraude d’optimisation des moteurs de recherche (SEO), ainsi que pour le vol de données de grande valeur, ont averti les chercheurs de Cisco Talos.
Les serveurs les plus à risque des attaques sont actuellement dans les universités, les entreprises technologiques et les fournisseurs de télécommunications en Inde, en Thaïlande, au Vietnam, au Canada et au Brésil, a indiqué la société.
Ce ciblage n’est pas une coïncidence; Le groupe, identifié comme UAT-8099, choisit ses victimes pour leur domaine élevé et leur réputation IP, ce qui le rend moins probable que l’activité de fraude SEO sera détectée ou bloquée.
Cisco Talos ne dit pas combien de serveurs que le groupe a compromis, mais le fait qu’il ait reçu son propre identifiant suggère que le volume est important. Il est également possible que la campagne étende finalement à d’autres pays, notamment les États-Unis et le Royaume-Uni.
Les outils, techniques et procédures (TTPS) décrits par Cisco offrent un aperçu intéressant du fonctionnement plus profond de la fraude SEO.
Pour obtenir un accès initial, UAT-8099 cible les serveurs IIS faiblement configurés qui permettent des téléchargements de fichiers sans restriction pour des applications telles que les systèmes de gestion de contenu (CMS).
Le groupe subvertit cette fonctionnalité pour télécharger un shell Web et créer un compte invité, dont les privilèges sont immédiatement élevés au niveau d’administration. Le protocole de bureau à distance (RDP) est ensuite activé, à quel point les attaquants ont suffisamment de contrôle sur le serveur pour installer le malware SEO BADIIS.
Pour atteindre la persistance, les attaquants créent un compte d’administration caché. Ils permettent un accès de porte dérobée via le VPN doux ou des outils VPN décentralisés faciles pour masquer le trafic RDP et éviter la détection, et utiliser le proxy inverse FRP pour initier des connexions extérieures du serveur pour obscurcir davantage le compromis.
Pour empêcher d’autres groupes de criminalité d’exploiter le serveur compromis, UAT-8099 installe l’outil de sécurité D_SAFE_MANAGE IIS, qui se frotte plutôt dans le fait que les défenseurs auraient dû utiliser cet outil équivalent ou un outil équivalent dans le même but.
Pourquoi la fraude du référencement?
Les moteurs de recherche d’empoisonnement, en particulier Google, sont un facilitateur important de la cybercriminalité.
Le but de cet exercice est d’élever des liens malveillants ou frauduleux vers le haut des résultats de recherche possible.
Si les assaillants ont servi ces liens à partir d’un site Web malveillant, ils seraient facilement filtrés. La réponse est de détourner le site de quelqu’un d’autre, de préférence avec un domaine et IP à grande réputation. Cela signifie que le Crawler de recherche voit des pages sur un serveur IIS réputé que l’attaquant a rempli de termes conviviaux et de backlinks cachés à d’autres serveurs Web réputés mais également détournés.
Cela élève le classement de ces pages dans la recherche, ce qui les rend plus susceptibles d’être remarqués et cliqués. Lorsque les utilisateurs cliquent, ils sont nourris des annonces injectées ou des pages de destination malveillantes hébergées ailleurs que les robots ne voient pas.
En tant que source de revenus de sauvegarde, l’UAT-8099 vole également toutes les informations d’identification et autres données sensibles qu’il peut trouver sur les serveurs compromis pour se vendre à d’autres criminels.
Ce qu’il faut faire
Les IIS, et les applications qui les exécutent, sont toujours des cibles pour les attaquants exploitant les vulnérabilités de niveau CVE et les erreurs de configuration. Un exemple de cela a été la vulnérabilité CityWorks RCE de plus tôt en 2025. Et en juillet, le groupe nord-coréen Lazare aurait compromis les serveurs IIS en Corée du Sud pour distribuer des logiciels malveillants aux utilisateurs du logiciel Inisafe Crossweb Ex V6 Banking Security.
Les attaques actuelles se poursuivent depuis au moins avril, ce qui signifie que les organisations devraient d’abord vérifier leurs domaines IIS pour le compromis existant. Pour aider à cela, Cisco Talos a publié une page GitHub répertant les hachages de fichiers et des domaines malveillants associés à l’UAT-8099 à rechercher dans les journaux.
Les serveurs doivent également être configurés pour empêcher IIS d’exécuter des scripts ou des fichiers téléchargés en ajoutant un gestionnaire statique du dossier de téléchargement. Cela empêche les attaquants de cacher des exécutables et des scripts derrière des téléchargements d’aspect inoffensif.
Enfin, il est important de désactiver l’accès RDP sur le port 3389 et d’activer l’authentification multi-facteurs (MFA) pour tous les accès administratifs. À tout le moins, un SIEM doit être autorisé à ingérer des journaux de l’IIS. Avec les bonnes alertes, celles-ci devraient révéler des modifications ou des ajouts de fichiers inhabituels.
