Rusia, China y fraude en Chrome: Sabotaje energético en Polonia, malware "Stanley" en ChatGPT y ataques BadIIS en Asia
02 de February de 2026El grupo chino UAT-8099 "esclaviza" servidores corporativos para una red masiva de fraude SEO
SINGAPUR – Investigadores de Cisco Talos han alertado sobre una nueva y agresiva campaña de ciberataques dirigida por el grupo de habla china UAT-8099. La operación, detectada entre finales de 2025 y principios de 2026, tiene como objetivo comprometer servidores Microsoft Internet Information Services (IIS) en toda Asia para integrarlos en una sofisticada red de fraude de posicionamiento en buscadores (SEO).
Ataques quirúrgicos en el Sudeste Asiático
A diferencia de campañas anteriores más globales, esta nueva ofensiva muestra un enfoque regional específico. Aunque se han detectado servidores infectados en India, Pakistán y Japón, el grupo ha concentrado sus esfuerzos en Tailandia y Vietnam.
Los atacantes explotan servidores IIS vulnerables —comunes en universidades, empresas de telecomunicaciones y organismos gubernamentales— mediante la carga de web shells (puertas traseras web) en directorios que permiten la subida de archivos sin restricciones.
BadIIS: Un malware que "parchea" para asegurar su control
El corazón de la operación es el malware BadIIS, una herramienta diseñada específicamente para servidores Windows. Lo que hace que este ataque sea inusual es la táctica de "autodefensa" del grupo: una vez que UAT-8099 toma el control, utiliza herramientas como OpenArk64 y scripts personalizados para cerrar los agujeros de seguridad originales del servidor.
"El grupo no solo infecta el servidor, sino que lo 'parchea' para expulsar a otros atacantes competidores, asegurándose el monopolio de los recursos de la víctima", señala el informe de Talos.
El mecanismo del fraude SEO
El objetivo principal no es el robo de datos convencional, sino la manipulación de resultados de búsqueda para redirigir tráfico hacia sitios de juegos de azar ilegales o estafas. El malware opera de forma dual:
Para buscadores: Cuando Google o Bing rastrean el sitio, el servidor les entrega contenido optimizado artificialmente para mejorar el ranking de páginas fraudulentas.
Para usuarios reales: Si el visitante proviene de una región específica (detectada mediante el encabezado
Accept-Language), el servidor inyecta código JavaScript que redirige silenciosamente su navegador hacia destinos maliciosos.
Tácticas de evasión y persistencia
Para mantener el acceso a largo plazo, el grupo ha implementado técnicas de ocultación avanzadas:
Cuentas fantasma: Crean usuarios administrativos con nombres engañosos como
admin$,mysql$opower$para evadir los sistemas de monitoreo tradicionales.Túneles VPN: Utilizan herramientas legítimas de código abierto como SoftEther VPN y EasyTier para establecer conexiones remotas cifradas.
Borrado de huellas: El uso de la herramienta Sharp4RemoveLog permite a los atacantes eliminar selectivamente los registros de eventos de Windows, dificultando las tareas de forense digital.
Un riesgo creciente para la reputación corporativa
Aunque el impacto inmediato es el uso no autorizado de recursos del servidor, el daño colateral para las organizaciones es la pérdida de reputación. Al estar asociados con contenido fraudulento y redirecciones maliciosas, los dominios legítimos de las empresas afectadas pueden ser incluidos en listas negras por los motores de búsqueda, afectando permanentemente su presencia digital legítima.
Se recomienda a los administradores de sistemas Windows revisar exhaustivamente las configuraciones de permisos de carga de archivos en IIS y monitorear la creación inesperada de cuentas locales con privilegios de administrador.