Campagne de fraude SEO UAT-8099
Des chercheurs en cybersécurité ont récemment découvert un groupe de cybercriminels sinophones, nommé UAT-8099, responsable d'attaques sophistiquées ciblant les serveurs Microsoft Internet Information Services (IIS). Ce groupe se livre à des fraudes liées à l'optimisation des moteurs de recherche (SEO) et au vol d'identifiants, de fichiers de configuration et de certificats de grande valeur, ce qui représente un risque considérable pour les organisations du monde entier.
Table des matières
Portée mondiale et profil cible
L'activité du groupe a été principalement observée en Inde, en Thaïlande, au Vietnam, au Canada et au Brésil, affectant des universités, des entreprises technologiques et des opérateurs de télécommunications. Détectées pour la première fois en avril 2025, les attaques d'UAT-8099 ciblent principalement les utilisateurs mobiles, sur appareils Android et iOS.
Cet acteur fait partie d'une vague croissante de groupes de menaces liés à la Chine et impliqués dans des fraudes SEO. À titre d'information, une campagne récente menée par un autre acteur, GhostRedirector, a compromis au moins 65 serveurs Windows à l'aide d'un module IIS malveillant nommé Gamshen, ciblant des régions similaires.
Méthodes d’attaque et accès initial
L'UAT-8099 sélectionne soigneusement les serveurs IIS à forte valeur ajoutée dans les régions ciblées et exploite les failles de sécurité ou les configurations de téléchargement de fichiers défaillantes. Son approche comprend :
- Téléchargement de shells Web pour collecter des informations système.
- Élévation des privilèges via le compte invité, pour atteindre l'accès de niveau administrateur.
- Activation du protocole RDP (Remote Desktop Protocol) pour un accès continu.
Le groupe prend également des mesures pour sécuriser la base initiale, empêchant ainsi d'autres acteurs malveillants de compromettre les mêmes serveurs. Cobalt Strike est déployé comme porte dérobée principale pour les activités post-exploitation.
Persistance et déploiement de logiciels malveillants
Pour maintenir un contrôle à long terme, l'UAT-8099 combine RDP avec des outils VPN tels que SoftEther VPN, EasyTier et Fast Reverse Proxy (FRP). La chaîne d'attaque culmine avec l'installation du malware BadIIS, utilisé par plusieurs clusters sinophones, dont DragonRank et Operation Rewrite (CL-UNK-1037).
Une fois à l'intérieur, l'acteur utilise des outils d'interface utilisateur comme Everything pour localiser et extraire des données précieuses en vue de leur revente ou de leur exploitation ultérieure. Le nombre exact de serveurs compromis reste inconnu.
Le logiciel malveillant BadIIS : modes et fonctionnalités
La variante BadIIS déployée a été spécifiquement modifiée pour échapper à la détection antivirus et reproduire les fonctionnalités de Gamshen. Son optimisation SEO ne s'active que lorsque les requêtes proviennent de Googlebot. BadIIS fonctionne selon trois modes principaux :
Mode proxy : extrait les adresses de serveur C2 codées et les utilise comme proxys pour récupérer le contenu des serveurs secondaires.
Mode injecteur : intercepte les requêtes du navigateur à partir des résultats de recherche Google, récupère JavaScript du serveur C2, l'intègre dans la réponse HTML et redirige les utilisateurs vers des sites ou des publicités non autorisés.
Mode de fraude SEO : compromet plusieurs serveurs IIS pour augmenter artificiellement le classement des moteurs de recherche à l'aide de backlinks.
Fraude SEO et tactiques de backlinking
L'UAT-8099 utilise le backlinking, une stratégie SEO standard, pour accroître la visibilité d'un site web. Google évalue les backlinks pour découvrir de nouvelles pages et mesurer la pertinence des mots clés. Si davantage de backlinks peuvent améliorer le classement, des backlinks de mauvaise qualité ou artificiels peuvent entraîner des pénalités de la part de Google.
En combinant le déploiement de logiciels malveillants, l'utilisation de shell Web et le backlinking stratégique, UAT-8099 est capable de manipuler les résultats de recherche et de monétiser efficacement les serveurs compromis, ce qui en fait un acteur à haut risque dans le paysage de la fraude SEO.
