Los investigadores de ciberseguridad han descubierto una nueva campaña atribuida a un actor de amenazas vinculado a China conocido como UAT-8099 que tuvo lugar entre finales de 2025 y principios de 2026.

La actividad, descubierta por Cisco Talos, se ha dirigido a servidores vulnerables de Internet Information Services (IIS) ubicados en Asia, pero con un enfoque específico en objetivos en Tailandia y Vietnam. Actualmente se desconoce la magnitud de la campaña.

«El UAT-8099 usa webshells y PowerShell para ejecutar scripts e implementar la herramienta GoToHTTP, lo que otorga al actor de la amenaza acceso remoto a los servidores IIS vulnerables», dijo el investigador de seguridad Joey Chen dijo en un desglose de la campaña del jueves.

El UAT-8099 fue primera documentación de la empresa de ciberseguridad en octubre de 2025, detallando la explotación por parte de los actores de amenazas de los servidores IIS en India, Tailandia, Vietnam, Canadá y Brasil para facilitar el fraude en la optimización de motores de búsqueda (SEO). Los ataques implican infectar los servidores con un malware conocido denominado BadIIS.

Se considera que el grupo de hackers es de origen chino, y los ataques se remontan a abril de 2025. El grupo de amenazas también comparte similitudes con otra campaña de BADiIS cuyo nombre en código es WEBJACK del proveedor finlandés de ciberseguridad WithSecure en noviembre de 2025, basándose en la superposición de las herramientas, la infraestructura de mando y control (C2) y la huella victimológica.

La última campaña se centra en comprometer los servidores de IIS ubicados en India, Pakistán, Tailandia, Vietnam y Japón, aunque Cisco dijo que observó una «clara concentración de ataques» en Tailandia y Vietnam.

«Si bien el actor de amenazas sigue confiando en los webshells, SoftEther VPN y EasyTier para controlar los servidores IIS comprometidos, su estrategia operativa ha evolucionado significativamente», explica Talos. «En primer lugar, esta última campaña marca un cambio en sus tácticas de SEO de sombrero negro hacia un enfoque regional más específico. En segundo lugar, el actor aprovecha cada vez más las utilidades y herramientas legítimas de Red Team para evitar ser detectados y mantener la persistencia a largo plazo».

La cadena de ataque comienza cuando el UAT-8099 obtiene el acceso inicial a un servidor IIS, normalmente aprovechando una vulnerabilidad de seguridad o una configuración débil en la función de carga de archivos del servidor web. A continuación, el autor de la amenaza inicia una serie de pasos para desplegar cargas maliciosas:

  • Ejecute comandos de descubrimiento y reconocimiento para recopilar información del sistema
  • Implemente herramientas de VPN y establezca la persistencia creando una cuenta de usuario oculta llamada «admin$»
  • Elimine nuevas herramientas como Sharp4RemoveLog (elimina los registros de eventos de Windows), cnCrypt Protect (oculta archivos maliciosos), OpenARK64 (antirootkit de código abierto para terminar los procesos de los productos de seguridad) y GoToHTTP (control remoto del servidor)
  • Implemente el malware BadiIS con la cuenta recién creada

Ahora que los productos de seguridad están tomando medidas para marcar la cuenta «admin$», el autor de la amenaza ha añadido una nueva comprobación para comprobar si el nombre está bloqueado y, de ser así, procede a crear una nueva cuenta de usuario llamada «mysql$» para mantener el acceso y ejecutar el servicio de fraude SEO de BadiIS sin interrupciones. Además, se ha observado que el UAT-8099 crea más cuentas ocultas para garantizar su persistencia.

Otro cambio notable gira en torno al uso de GoToHTTP para controlar de forma remota el servidor infectado. La herramienta se ejecuta mediante un script de Visual Basic que se descarga mediante un comando de PowerShell que se ejecuta tras el despliegue de un shell web.

El malware BadiIS utilizado en los ataques consiste en dos nuevas variantes personalizadas para atacar regiones específicas: mientras que BadiIS IIiShijack se centra en las víctimas en Vietnam, BadiIS ASDSearchEngine se dirige principalmente a objetivos en Tailandia o a usuarios con preferencias lingüísticas tailandesas.

El objetivo final del malware sigue siendo en gran medida el mismo. Analiza las solicitudes entrantes a los servidores de IIS para comprobar si el visitante es un rastreador de motores de búsqueda. Si ese es el caso, el rastreador se redirige a un sitio web fraudulento de SEO. Sin embargo, si la solicitud proviene de un usuario normal y el Encabezado Accept-Language si la solicitud indica tailandés, inyecta HTML que contiene una redirección maliciosa de JavaScript en la respuesta.

Cisco Talos dijo que identificó tres variantes distintas dentro del clúster BADiIS ASDSearchEngine:

  • Variante exclusiva de múltiples extensiones, que comprueba la ruta del archivo en la solicitud y la ignora si contiene una extensión en su lista de exclusiones que puede consumir muchos recursos o dificultar la apariencia del sitio web
  • Variante de carga de plantillas HTML, que contiene un sistema de generación de plantillas HTML para crear contenido web de forma dinámica cargando plantillas desde el disco o utilizando alternativas integradas y reemplazando los marcadores de posición por datos aleatorios, fechas y contenido derivado de URL
  • Variante dinámica de extensión de página/índice de directorios, que comprueba si una ruta solicitada corresponde a una extensión de página dinámica o a un índice de directorios

«Evaluamos que el actor de amenazas, UAT-8099, implementó esta función para priorizar la segmentación del contenido SEO y, al mismo tiempo, mantener el sigilo», dijo Talos sobre la tercera variante.

«Dado que el envenenamiento por SEO se basa en la inyección de enlaces de JavaScript en las páginas que rastrean los motores de búsqueda, el malware se centra en las páginas dinámicas (por ejemplo, default.aspx, index.php), donde estas inyecciones son más eficaces. Además, al restringir los enlaces a otros tipos de archivos específicos, el malware evita procesar archivos estáticos incompatibles, lo que evita la generación de registros de errores sospechosos en el servidor».

También hay indicios de que el actor de amenazas está refinando activamente su versión Linux de BADiIS. Un artefacto binario ELF subido a VirusTotal a principios de octubre de 2025 incluye modos de fraude de proxy, inyector y SEO como antes, limitando los motores de búsqueda segmentados solo a los rastreadores de Google, Microsoft Bing y Yahoo!

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.