UAT-8099: Campaña de malware BadIIS amenaza servidores IIS en Asia
Publicado el
UAT-8099 y el malware BadIIS
Recientemente, se ha detectado una campaña de ciberamenaza vinculada a un grupo conocido como UAT-8099, relacionado con China. Este grupo ha estado activo entre finales de 2025 y principios de 2026, atacando servidores de Internet Information Services (IIS) en Asia, con un foco particular en Tailandia y Vietnam. La magnitud de esta actividad aún no se ha determinado.
Según el análisis realizado por Cisco Talos, UAT-8099 emplea web shells y PowerShell para ejecutar scripts y desplegar la herramienta GotoHTTP, lo que le permite obtener acceso remoto a los servidores IIS vulnerables. Esta campaña sigue a un informe previo que documentó las actividades del grupo en octubre de 2025, cuando se observó que explotaban servidores IIS en varios países, incluidos India, Canadá y Brasil, para facilitar fraudes relacionados con la optimización en motores de búsqueda (SEO).
Técnicas de ataque
Los ataques se centran en infectar los servidores con el malware conocido como BadIIS. Este grupo, de origen chino, ha estado activo desde al menos abril de 2025. Los métodos utilizados por UAT-8099 incluyen la explotación de vulnerabilidades de seguridad y configuraciones débiles en la función de carga de archivos del servidor web. La cadena de ataque implica varios pasos:
1. Acceso inicial al servidor IIS. 2. Despliegue de herramientas maliciosas como Sharp4RemoveLog (para eliminar registros de eventos de Windows), CnCrypt Protect (para ocultar archivos maliciosos), OpenArk64 (un anti-rootkit de código abierto) y GotoHTTP. 3. Implementación del malware BadIIS a través de una cuenta de usuario oculta llamada "admin$".
La campaña ha mostrado un cambio en las tácticas de SEO negro hacia un enfoque más regionalizado. UAT-8099 ha comenzado a crear cuentas adicionales para mantener el acceso y llevar a cabo sus operaciones sin interrupciones, incluso creando una nueva cuenta llamada "mysql$" si la anterior es bloqueada.
Variantes del malware y su funcionamiento
El malware BadIIS cuenta con variantes personalizadas que apuntan a regiones específicas. Por ejemplo, BadIIS IISHijack se dirige a víctimas en Vietnam, mientras que BadIIS asdSearchEngine está diseñado para objetivos en Tailandia. El objetivo principal de estas variantes es redirigir a los motores de búsqueda hacia sitios de fraude SEO, alterando el comportamiento del servidor según el idioma del usuario.
Cisco Talos ha identificado tres variantes dentro del clúster BadIIS asdSearchEngine: - Variante de múltiples extensiones: Verifica la ruta del archivo en la solicitud y la ignora si contiene extensiones en una lista de exclusión. - Variante de carga de plantillas HTML: Genera contenido web dinámico mediante plantillas, reemplazando marcadores con datos aleatorios. - Variante de extensión de página dinámica: Comprueba si la ruta solicitada corresponde a una extensión de página dinámica.
Conclusiones y recomendaciones
La evolución de las tácticas de UAT-8099 resalta la importancia de mantener una ciberseguridad robusta, especialmente para los servidores IIS. La combinación de herramientas legítimas y técnicas sofisticadas para evadir detección enfatiza la necesidad de que las organizaciones implementen medidas de seguridad proactivas, como la monitorización constante y la actualización de configuraciones de seguridad.
La amenaza de UAT-8099 y su uso del malware BadIIS subraya la vulnerabilidad de muchos sistemas y la creciente sofisticación de los ciberataques, lo que requiere una atención especial por parte de los administradores de sistemas y expertos en ciberseguridad.