Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch mới được cho là của tác nhân đe dọa liên kết với Trung Quốc có tên gọi UAT-8099, diễn ra từ cuối năm 2025 đến đầu năm 2026.
Hoạt động này, được Cisco Talos phát hiện, đã nhắm mục tiêu vào các máy chủ Internet Information Services (IIS) dễ bị tổn thương trên khắp Châu Á, nhưng đặc biệt tập trung vào các mục tiêu ở Thái Lan và Việt Nam. Quy mô của chiến dịch hiện chưa được xác định.
"UAT-8099 sử dụng web shells và PowerShell để thực thi các script và triển khai công cụ GotoHTTP, cấp cho tác nhân đe dọa quyền truy cập từ xa vào các máy chủ IIS dễ bị tổn thương," nhà nghiên cứu bảo mật Joey Chen cho biết trong một phân tích về chiến dịch vào thứ Năm.
UAT-8099 lần đầu tiên được ghi nhận bởi công ty an ninh mạng này vào tháng 10 năm 2025, trình bày chi tiết về việc tác nhân đe dọa khai thác các máy chủ IIS ở Ấn Độ, Thái Lan, Việt Nam, Canada và Brazil để tạo điều kiện cho SEO fraud. Các cuộc tấn công liên quan đến việc lây nhiễm malware có tên BadIIS vào các máy chủ.
Nhóm hacker được đánh giá là có nguồn gốc từ Trung Quốc, với các cuộc tấn công đã diễn ra từ tháng 4 năm 2025. Nhóm đe dọa này cũng có những điểm tương đồng với một chiến dịch BadIIS khác được nhà cung cấp an ninh mạng WithSecure của Phần Lan đặt tên mã là WEBJACK vào tháng 11 năm 2025, dựa trên sự trùng lặp về công cụ, cơ sở hạ tầng command-and-control (C2) và dấu vết nạn nhân.
Chiến dịch mới nhất tập trung vào việc xâm phạm các máy chủ IIS đặt tại Ấn Độ, Pakistan, Thái Lan, Việt Nam và Nhật Bản, mặc dù Cisco cho biết họ đã quan sát thấy "sự tập trung đáng kể của các cuộc tấn công" ở Thái Lan và Việt Nam.
"Trong khi tác nhân đe dọa tiếp tục dựa vào web shells, SoftEther VPN và EasyTier để kiểm soát các máy chủ IIS bị xâm nhập, chiến lược hoạt động của chúng đã phát triển đáng kể," Talos giải thích. "Thứ nhất, chiến dịch mới nhất này đánh dấu sự thay đổi trong chiến thuật SEO mũ đen của chúng theo hướng tập trung vào khu vực cụ thể hơn. Thứ hai, tác nhân ngày càng tận dụng các tiện ích red team và công cụ hợp pháp để tránh bị phát hiện và duy trì khả năng bền bỉ lâu dài."
Chi tiết chuỗi tấn công
Chuỗi tấn công bắt đầu với việc UAT-8099 giành được quyền truy cập ban đầu vào một máy chủ IIS, thường bằng cách khai thác lỗ hổng bảo mật hoặc cài đặt yếu trong tính năng tải tệp của máy chủ web. Sau đó, tác nhân đe dọa bắt đầu một loạt các bước để triển khai các payload độc hại:
- Thực thi các lệnh discovery và reconnaissance để thu thập thông tin hệ thống
- Triển khai các công cụ VPN và thiết lập persistence bằng cách tạo một tài khoản người dùng ẩn có tên "admin$"
- Thả các công cụ mới như Sharp4RemoveLog (xóa nhật ký sự kiện Windows), CnCrypt Protect (ẩn các tệp độc hại), OpenArk64 (anti-rootkit mã nguồn mở để chấm dứt các quy trình sản phẩm bảo mật) và GotoHTTP (điều khiển máy chủ từ xa)
- Triển khai malware BadIIS bằng tài khoản mới được tạo
Với việc các sản phẩm bảo mật thực hiện các bước để gắn cờ tài khoản "admin$", tác nhân đe dọa đã thêm một kiểm tra mới để xác minh xem tên đó có bị chặn hay không, và nếu có, tiến hành tạo một tài khoản người dùng mới có tên "mysql$" để duy trì quyền truy cập và chạy dịch vụ SEO fraud của BadIIS mà không bị gián đoạn. Ngoài ra, UAT-8099 còn được quan sát thấy tạo thêm các tài khoản ẩn để đảm bảo persistence.
Một sự thay đổi đáng chú ý khác xoay quanh việc sử dụng GotoHTTP để điều khiển máy chủ bị lây nhiễm từ xa. Công cụ này được khởi chạy bằng một Visual Basic Script được tải xuống bởi một lệnh PowerShell chạy sau khi triển khai một web shell.
Các biến thể BadIIS và cơ chế tấn công
Malware BadIIS được triển khai trong các cuộc tấn công là hai biến thể mới được tùy chỉnh để nhắm mục tiêu các khu vực cụ thể: Trong khi BadIIS IISHijack nhắm vào các nạn nhân ở Việt Nam, BadIIS asdSearchEngine chủ yếu nhắm vào các mục tiêu ở Thái Lan hoặc người dùng có tùy chọn ngôn ngữ tiếng Thái.
Mục tiêu cuối cùng của malware vẫn phần lớn giống nhau. Nó quét các yêu cầu đến các máy chủ IIS để kiểm tra xem khách truy cập có phải là một search engine crawler hay không. Nếu đúng như vậy, crawler sẽ được chuyển hướng đến một trang web SEO fraud. Tuy nhiên, nếu yêu cầu đến từ một người dùng thông thường và Accept-Language header trong yêu cầu chỉ ra tiếng Thái, nó sẽ inject HTML chứa một JavaScript redirect độc hại vào phản hồi.
Cisco Talos cho biết họ đã xác định ba biến thể riêng biệt trong nhóm BadIIS asdSearchEngine:
- Biến thể extensions độc quyền, kiểm tra đường dẫn tệp trong yêu cầu và bỏ qua nếu nó chứa một extension trong danh sách loại trừ của nó mà có thể gây tốn tài nguyên hoặc làm hỏng giao diện của trang web.
- Biến thể load HTML templates, chứa một hệ thống tạo HTML template để tạo nội dung web động bằng cách tải các template từ đĩa hoặc sử dụng các fallbacks nhúng và thay thế các placeholders bằng dữ liệu ngẫu nhiên, ngày tháng và nội dung có nguồn gốc từ URL.
- Biến thể dynamic page extension/directory index, kiểm tra xem đường dẫn được yêu cầu có tương ứng với một dynamic page extension hay một directory index hay không.
"Chúng tôi đánh giá rằng tác nhân đe dọa UAT-8099 đã triển khai tính năng này để ưu tiên nhắm mục tiêu nội dung SEO trong khi vẫn duy trì sự tàng hình," Talos cho biết về biến thể thứ ba.
"Vì SEO poisoning dựa vào việc inject các liên kết JavaScript vào các trang mà search engines crawl, malware tập trung vào các dynamic pages (ví dụ: default.aspx, index.php) nơi các injection này hiệu quả nhất. Hơn nữa, bằng cách hạn chế các hooks đối với các loại tệp cụ thể khác, malware tránh xử lý các static files không tương thích, từ đó ngăn chặn việc tạo ra các server error logs đáng ngờ."
Cũng có những dấu hiệu cho thấy tác nhân đe dọa đang tích cực tinh chỉnh phiên bản Linux của BadIIS. Một ELF binary artifact được tải lên VirusTotal vào đầu tháng 10 năm 2025 bao gồm proxy, injector và các chế độ SEO fraud như trước, đồng thời giới hạn các search engines mục tiêu chỉ với các crawlers từ Google, Microsoft Bing và Yahoo!.
