Investigadores de ciberseguridad han descubierto una nueva campaña atribuida a un actor de amenazas vinculado a China conocido como UAT-8099 que tuvo lugar entre finales de 2025 y principios de 2026.
La actividad, descubierta por Cisco Talos, se ha dirigido a servidores vulnerables de Servicios de Información de Internet (IIS) ubicados en toda Asia, pero con un enfoque específico en objetivos en Tailandia y Vietnam. Actualmente se desconoce la escala de la campaña.
«UAT-8099 utiliza shells web y PowerShell para ejecutar scripts e implementar la herramienta GotoHTTP, otorgando al actor de amenazas acceso remoto a servidores IIS vulnerables», dijo el investigador de seguridad Joey Chen en un desglose de la campaña el jueves.
UAT-8099 fue documentado por primera vez por la empresa de ciberseguridad en octubre de 2025, y detalla la explotación de servidores IIS por parte del actor de amenazas en India, Tailandia, Vietnam, Canadá y Brasil para facilitar el fraude de optimización de motores de búsqueda (SEO). Los ataques implican infectar los servidores con un conocido malware denominado BadIIS.
Se considera que el grupo de piratas informáticos es de origen chino, y los ataques se remontan a abril de 2025. El grupo de amenazas también comparte similitudes con otra campaña de BadIIS con nombre en código WEBJACK del proveedor finlandés de ciberseguridad WithSecure en noviembre de 2025, basada en superposiciones en herramientas, infraestructura de comando y control (C2) y huella de victimología.
La última campaña se centra en comprometer servidores IIS ubicados en India, Pakistán, Tailandia, Vietnam y Japón, aunque Cisco dijo que observó una «clara concentración de ataques» en Tailandia y Vietnam.
«Si bien el actor de amenazas continúa confiando en web shells, SoftEther VPN y EasyTier para controlar los servidores IIS comprometidos, su estrategia operativa ha evolucionado significativamente», explicó Talos. «En primer lugar, esta última campaña marca un cambio en sus tácticas de SEO de sombrero negro hacia un enfoque regional más específico. En segundo lugar, el actor aprovecha cada vez más las utilidades del equipo rojo y las herramientas legítimas para evadir la detección y mantener la persistencia a largo plazo».
La cadena de ataque comienza cuando el UAT-8099 obtiene acceso inicial a un servidor IIS, normalmente aprovechando una vulnerabilidad de seguridad o una configuración débil en la función de carga de archivos del servidor web. A esto le sigue el actor de amenazas que inicia una serie de pasos para implementar cargas útiles maliciosas:
- Ejecutar comandos de descubrimiento y reconocimiento para recopilar información del sistema.
- Implemente herramientas VPN y establezca persistencia creando una cuenta de usuario oculta llamada «admin$»
- Lanzar nuevas herramientas como Sharp4RemoveLog (eliminar registros de eventos de Windows), CnCrypt Protect (ocultar archivos maliciosos), OpenArk64 (anti-rootkit de código abierto para finalizar procesos de productos de seguridad) y GotoHTTP (control remoto del servidor)
- Implemente el malware BadIIS utilizando la cuenta recién creada
Mientras los productos de seguridad toman medidas para marcar la cuenta «admin$», el actor de amenazas agregó una nueva verificación para verificar si el nombre está bloqueado y, de ser así, procede a crear una nueva cuenta de usuario llamada «mysql$» para mantener el acceso y ejecutar el servicio de fraude BadIIS SEO sin ninguna interrupción. Además, se ha observado que UAT-8099 crea más cuentas ocultas para garantizar la persistencia.
Otro cambio notable gira en torno al uso de GotoHTTP para controlar de forma remota el servidor infectado. La herramienta se inicia mediante un script de Visual Basic que se descarga mediante un comando de PowerShell que se ejecuta después de la implementación de un shell web.
El malware BadIIS implementado en los ataques consta de dos nuevas variantes personalizadas para apuntar a regiones específicas: mientras que BadIIS IISHijack selecciona víctimas en Vietnam, BadIIS asdSearchEngine está dirigido principalmente a objetivos en Tailandia o a usuarios con preferencias de idioma tailandés.
El objetivo final del malware sigue siendo en gran medida el mismo. Escanea las solicitudes entrantes a los servidores IIS para comprobar si el visitante es un rastreador de motor de búsqueda. Si ese es el caso, el rastreador es redirigido a un sitio fraudulento de SEO. Sin embargo, si la solicitud proviene de un usuario normal y el encabezado Accept-Language de la solicitud indica tailandés, inyecta HTML que contiene una redirección de JavaScript maliciosa en la respuesta.
Cisco Talos dijo que identificó tres variantes distintas dentro del clúster BadIIS asdSearchEngine:
- Variante exclusiva de múltiples extensiones, que verifica la ruta del archivo en la solicitud y la ignora si contiene una extensión en su lista de exclusión que puede consumir muchos recursos o dificultar la apariencia del sitio web.
- Cargar variante de plantillas HTML, que contiene un sistema de generación de plantillas HTML para crear dinámicamente contenido web cargando plantillas desde el disco o usando alternativas integradas y reemplazando marcadores de posición con datos aleatorios, fechas y contenido derivado de URL.
- Variante de extensión de página dinámica/índice de directorio, que comprueba si una ruta solicitada corresponde a una extensión de página dinámica o un índice de directorio
«Evaluamos que el actor de la amenaza, UAT-8099, implementó esta característica para priorizar la orientación del contenido SEO mientras se mantiene el sigilo», dijo Talos sobre la tercera variante.
«Dado que el envenenamiento de SEO se basa en inyectar enlaces JavaScript en páginas que rastrean los motores de búsqueda, el malware se centra en páginas dinámicas (por ejemplo, default.aspx, index.php) donde estas inyecciones son más efectivas. Además, al restringir los enlaces a otros tipos de archivos específicos, el malware evita procesar archivos estáticos incompatibles, evitando así la generación de registros de errores sospechosos del servidor».
También hay indicios de que el actor de amenazas está perfeccionando activamente su versión Linux de BadIIS. Un artefacto binario ELF subido a VirusTotal a principios de octubre de 2025 incluye modos de fraude de proxy, inyector y SEO como antes, al tiempo que limita los motores de búsqueda específicos a solo rastreadores de Google, Microsoft Bing y Yahoo.