Campanha atribuída a ator ligado à China usa web shells, contas ocultas, ferramentas legítimas e módulos BadIIS para fraude de SEO e redirecionamentos maliciosos em servidores IIS comprometidos.
| Componente | Servidores Microsoft Internet Information Services expostos, com uso posterior de web shells, BadIIS, GotoHTTP, SoftEther VPN e EasyTier. |
| Vetor | Acesso inicial a IIS vulnerável por exploração de falha de segurança ou configurações fracas no recurso de upload de arquivos. |
| Impacto | Controle remoto persistente do servidor, manipulação de respostas HTTP, envenenamento de resultados de busca e redirecionamento de usuários para conteúdo ilícito ou phishing. |
| Prioridade | Auditar IIS expostos, revisar uploads, procurar web shells e contas ocultas, remover ferramentas não autorizadas e validar a integridade das respostas servidas. |
| Artefatos | Variantes BadIIS IISHijack e BadIIS asdSearchEngine, além de uso observado de GotoHTTP, Sharp4RemoveLog, CnCrypt Protect e OpenArk64. |
| Alvos | Campanha concentrada em servidores IIS na Ásia, com foco em Tailândia e Vietnã, e observações também envolvendo Índia, Paquistão e Japão. |
A campanha atribuída ao grupo UAT-8099 mostra uma operação direcionada contra servidores Internet Information Services expostos, com atividade entre o fim de 2025 e o início de 2026. O conjunto de intrusões mantém o foco em abuso de infraestrutura web legítima para fraude de SEO, mas apresenta refinamentos técnicos importantes: seleção regional mais precisa, uso de ferramentas de administração remota, persistência por contas ocultas e módulos BadIIS ajustados para diferentes públicos. A atividade concentra-se em servidores localizados na Ásia, especialmente Tailândia e Vietnã, com ocorrências também descritas em Índia, Paquistão e Japão.
O objetivo operacional não é descrito como roubo direto de dados dos servidores comprometidos. O impacto confirmado está na tomada de controle do IIS, implantação de web shells, execução de scripts via PowerShell, instalação de ferramentas de acesso remoto e alteração do conteúdo entregue por páginas dinâmicas. A partir desse ponto, o servidor legítimo passa a servir conteúdo manipulado para mecanismos de busca e, em certos casos, redirecionamentos para ecossistemas de jogos ilícitos, pornografia e phishing de criptomoedas. Isso transforma ativos corporativos, governamentais ou educacionais em pontos de distribuição de conteúdo fraudulento, com risco reputacional, bloqueios por mecanismos de busca e perda de confiança na superfície web.
A cadeia começa com acesso inicial a um servidor IIS vulnerável. O vetor exato não é único: a atividade foi associada tanto à exploração de vulnerabilidade quanto a configurações fracas no mecanismo de upload de arquivos do servidor web. Depois do acesso, o operador implanta web shells e usa PowerShell para executar scripts adicionais. Esses scripts são usados para preparar o ambiente, baixar componentes e lançar ferramentas que ampliam a persistência e o controle remoto. O uso de GotoHTTP foi observado como uma mudança relevante, com execução acionada por um Visual Basic Script baixado por PowerShell após a colocação do web shell.
A persistência inclui criação de contas locais com nomes projetados para se confundir com artefatos administrativos. Quando produtos de segurança passaram a sinalizar a conta admin$, o operador incorporou uma verificação para identificar se esse nome estava bloqueado e, nesse caso, criar a conta mysql$. O objetivo técnico é manter capacidade de acesso e continuidade do serviço fraudulento BadIIS. Também foram observadas contas ocultas adicionais, o que exige resposta baseada em inventário de identidade local e comparação com o padrão administrativo esperado para cada servidor.
O BadIIS atua no plano de resposta HTTP do servidor comprometido. Em vez de afetar todos os visitantes da mesma forma, o malware avalia características da requisição, como crawler de mecanismo de busca, cabeçalhos User-Agent, Referer e Accept-Language, além do caminho solicitado. Para crawlers, a lógica entrega conteúdo otimizado para manipular resultados de busca. Para usuários comuns, especialmente quando a preferência de idioma indica tailandês, a resposta pode receber HTML com redirecionamento por JavaScript para páginas maliciosas. A campanha também limita a manipulação a páginas dinâmicas e índices de diretório para evitar erros visíveis em arquivos estáticos e reduzir ruído em logs.
Duas variantes regionais foram descritas: BadIIS IISHijack, associada a vítimas no Vietnã, e BadIIS asdSearchEngine, voltada principalmente para alvos na Tailândia ou usuários com preferência de idioma tailandês. Dentro do cluster asdSearchEngine, há variações que filtram extensões para evitar recursos incompatíveis ou custosos, carregam modelos HTML a partir do disco ou de fallbacks embutidos e selecionam páginas dinâmicas ou diretórios de índice como pontos de injeção. Também há sinais de evolução de uma versão Linux do BadIIS em artefato ELF, mantendo modos de proxy, injeção e fraude de SEO, mas restringindo crawlers-alvo a Google, Microsoft Bing e Yahoo.
A superfície principal é composta por servidores IIS acessíveis pela internet, especialmente aqueles com upload de arquivos exposto, validação insuficiente de conteúdo enviado, permissões excessivas no diretório web ou falta de correção de vulnerabilidades conhecidas. Como a campanha usa web shells e ferramentas legítimas ou de administração remota, a exposição não termina no processo web: contas locais, execução de scripts, diretórios de aplicação, tarefas de persistência e conectividade de saída também entram no escopo de resposta.
A seleção regional é relevante para priorização, mas não deve ser tratada como limite absoluto. A atividade anterior do mesmo cluster envolveu servidores em Índia, Tailândia, Vietnã, Canadá e Brasil, enquanto observações posteriores apontaram impacto global em mais de 1.800 servidores Windows em países como Austrália, Bangladesh, Brasil, China, Índia, Japão, Coreia, Lituânia, Nepal e Vietnã. A infraestrutura atingida inclui governos, organizações corporativas e instituições educacionais, com concentração significativa em China e Vietnã no conjunto observado posteriormente.
- Servidores IIS publicados na internet com upload de arquivos ou páginas dinâmicas acessíveis.
- Ambientes Windows nos quais contas locais recém-criadas, como
admin$oumysql$, não correspondem ao padrão administrativo legítimo. - Aplicações que servem páginas como
default.aspx,index.phpou índices de diretório e podem ter respostas modificadas em tempo de execução. - Servidores com presença inesperada de GotoHTTP, SoftEther VPN, EasyTier, Sharp4RemoveLog, CnCrypt Protect ou OpenArk64.
A investigação deve começar pela correlação entre eventos de criação de arquivos em diretórios web, execução de PowerShell pelo contexto do servidor e alterações recentes em contas locais. Web shells normalmente deixam rastros em caminhos de aplicação, timestamps incompatíveis com janelas de implantação e padrões de acesso HTTP com parâmetros incomuns. Como a campanha usa ferramentas legítimas, a detecção por nome de binário é insuficiente: a defesa precisa relacionar origem do processo, diretório de execução, conexões de saída e momento em que a ferramenta apareceu no host.
No IIS, logs de acesso podem mostrar diferenciação de resposta por crawler, idioma e caminho solicitado. Um mesmo recurso pode retornar conteúdo distinto quando o User-Agent aparenta ser de mecanismo de busca, quando o Referer muda ou quando o cabeçalho Accept-Language indica tailandês. Esse comportamento é um sinal forte de manipulação no servidor, especialmente se páginas dinâmicas passarem a conter links ou redirecionamentos não presentes no repositório da aplicação. Também vale buscar respostas com HTML gerado dinamicamente, placeholders substituídos por datas e termos aleatórios e referências a conteúdo de SEO que não pertence ao negócio.
No endpoint, a telemetria deve cobrir criação de usuários locais, mudanças em grupos administrativos, execução de scripts por processos associados ao IIS, implantação de DLLs não reconhecidas e tentativa de remoção ou supressão de logs. A presença de ferramentas como OpenArk64 pode indicar tentativa de interferir em produtos de segurança, enquanto Sharp4RemoveLog sugere intenção de reduzir evidências. Conexões persistentes de saída para controle remoto, túneis VPN inesperados e processos iniciados de diretórios temporários ou de aplicação web devem ser tratados como sinais de comprometimento.
- Criação ou uso de contas locais
admin$,mysql$ou outras contas ocultas sem justificativa operacional. - Processos PowerShell acionados por contexto web ou por processos relacionados ao IIS.
- Instalação não autorizada de GotoHTTP, SoftEther VPN, EasyTier, OpenArk64, CnCrypt Protect ou ferramentas de limpeza de logs.
- Diferença de conteúdo entregue para crawlers de busca em comparação com usuários comuns.
- Respostas HTTP com redirecionamento JavaScript injetado quando o cabeçalho
Accept-Languageindica tailandês. - Páginas dinâmicas com HTML de SEO, links externos suspeitos ou conteúdo incompatível com o repositório da aplicação.
A resposta deve tratar o servidor como comprometido quando houver web shell, conta oculta ou ferramenta remota não autorizada. A primeira etapa é preservar evidências suficientes para análise, isolar o host do tráfego de saída não essencial e remover o servidor de balanceadores ou publicação externa quando a continuidade do serviço permitir. Em seguida, é necessário revisar diretórios web, binários recentes, DLLs carregadas, tarefas e serviços persistentes, além de validar contas locais e grupos administrativos. Remover apenas o arquivo visível do web shell não encerra a intrusão se o operador já criou contas, túneis ou ferramentas de acesso remoto.
A correção preventiva exige endurecimento do IIS e do fluxo de upload. Uploads devem ter validação de tipo, armazenamento fora do diretório executável, renomeação controlada, bloqueio de extensões executáveis e permissões mínimas. O servidor deve executar aplicações com contas de privilégio restrito, impedir escrita desnecessária em caminhos servidos pelo IIS e registrar eventos de criação e modificação de arquivos. Vulnerabilidades conhecidas do sistema operacional, do IIS e da aplicação hospedada precisam ser corrigidas antes de recolocar o ativo em produção.
Depois da contenção, a organização deve validar a integridade do conteúdo entregue. Isso inclui comparar respostas para crawlers e navegadores comuns, testar variações de idioma e referenciador, revisar páginas dinâmicas e confirmar que não há injeção de HTML ou redirecionamento externo. Também é necessário avaliar impacto reputacional em mecanismos de busca, pois o envenenamento de SEO pode persistir em índices mesmo após a limpeza do servidor. Quando houver phishing ou conteúdo ilícito servido a partir do ativo, o processo de resposta deve incluir comunicação com equipes jurídicas, abuso de hospedagem e responsáveis por busca, sem publicar links ativos ou reproduzir páginas maliciosas.
- Isolar servidores com sinais de web shell, conta oculta, GotoHTTP, SoftEther VPN ou EasyTier não autorizados.
- Remover persistência somente após preservar evidências suficientes para reconstruir a cadeia de intrusão.
- Auditar contas locais, grupos administrativos, serviços, tarefas agendadas, DLLs carregadas e diretórios da aplicação.
- Endurecer upload de arquivos, bloqueando execução em diretórios graváveis e validando extensões, tipo e destino.
- Comparar respostas HTTP por
User-Agent,ReferereAccept-Languagepara identificar conteúdo servido de forma seletiva. - Reimplantar servidores a partir de imagem confiável quando a extensão do comprometimento não puder ser delimitada.
0 Comentários