Investigadores descubren una operación sofisticada dirigida por un grupo de habla china que no solo infecta servidores Windows, sino que los “parchea” para expulsar a otros hackers y asegurar su monopolio.
Si administras un servidor web Microsoft IIS, revisa tus usuarios ahora mismo. Hoy 30 de enero de 2026, una nueva oleada de ataques del grupo UAT-8099 (vinculado a China), dirigida específicamente a servidores de alta reputación en Asia, pero con víctimas detectadas globalmente.
A diferencia del ransomware ruidoso, este grupo prefiere el silencio. Su objetivo es convertir la infraestructura de universidades, empresas tecnológicas y gobiernos en “zombis” que manipulan los resultados de búsqueda de Google (SEO Fraud) para promocionar sitios de apuestas ilegales, mientras roban credenciales en segundo plano.
La Evolución: Malware “Regionalizado”
La campaña, activa desde finales de 2025, ha introducido una variante evolucionada de su malware insignia: BadIIS.
- Personalización Geográfica: Los atacantes ahora despliegan versiones de BadIIS diseñadas específicamente para la región de la víctima (detectada en Tailandia, Vietnam, India y Pakistán).
- El Mecanismo: El malware intercepta el tráfico HTTP del servidor. Si el visitante es un usuario normal, le muestra la página web legítima. Pero si detecta que el visitante es un Crawler de Búsqueda (como Googlebot), le sirve contenido falso lleno de palabras clave y enlaces a sitios de apuestas, aprovechando la buena reputación del dominio de la víctima para posicionar mejor sus estafas.
Tácticas de “Dueño Celoso”
Lo más curioso de UAT-8099 es su comportamiento territorial. Una vez que comprometen un servidor (generalmente explotando configuraciones débiles de carga de archivos):
- Parchean la vulnerabilidad: Cierran la misma puerta por la que entraron para evitar que otros grupos de hackers infecten “su” nuevo servidor.
- Persistencia Furtiva: Instalan herramientas legítimas de acceso remoto como GotoHTTP y SoftEther VPN, además de utilidades como EasyTier para mantener el control sin levantar sospechas en los antivirus tradicionales.
- Cuentas Fantasma: Crean usuarios administradores ocultos con nombres que parecen servicios del sistema, como mysql$ o admin$, para volver a entrar si son descubiertos.
Impacto Dual: Fraude y Robo
Aunque el SEO Fraud es su negocio principal, no desperdician nada.
- Mientras el servidor trabaja posicionando webs ilegales, el grupo utiliza herramientas como Mimikatz y Cobalt Strike para exfiltrar credenciales, certificados digitales y archivos de configuración, que luego venden en la Dark Web o utilizan para ataques posteriores más profundos.
¿Cómo saber si estás infectado?
- Simula ser un Bot: Utiliza herramientas de “User-Agent Switcher” para visitar tu propia web haciéndote pasar por Googlebot. Si ves anuncios de casinos o contenido extraño que no ves normalmente, estás comprometido.
- Auditoría de Usuarios: Busca cuentas locales desconocidas en el servidor, especialmente aquellas que terminan en $ o que imitan nombres de servicios de base de datos.
- Revisa Procesos: Busca la ejecución no autorizada de binarios como gotohttp.exe o servicios de VPN no instalados por tu equipo de TI.
