Des chercheurs en cybersécurité ont découvert une nouvelle campagne attribuée à un acteur menaçant lié à la Chine connu sous le nom de UAT-8099 qui a eu lieu entre fin 2025 et début 2026.
L'activité, découverte par Cisco Talos, ciblait les serveurs vulnérables des services d'information Internet (IIS) situés dans toute l'Asie, mais avec un accent particulier sur les cibles en Thaïlande et au Vietnam. L'ampleur de la campagne est actuellement inconnue.
“L'UAT-8099 utilise des shells Web et PowerShell pour exécuter des scripts et déployer l'outil GotoHTTP, accordant ainsi à l'acteur malveillant un accès à distance aux serveurs IIS vulnérables”, a déclaré jeudi le chercheur en sécurité Joey Chen dans une analyse de la campagne.
UAT-8099 a été documenté pour la première fois par la société de cybersécurité en octobre 2025 et détaille l'exploitation par l'acteur malveillant des serveurs IIS en Inde, en Thaïlande, au Vietnam, au Canada et au Brésil pour faciliter la fraude à l'optimisation des moteurs de recherche (SEO). Les attaques consistent à infecter les serveurs avec un malware bien connu appelé BadIIS.
Le groupe de hackers est considéré comme d'origine chinoise, les attaques remontant à avril 2025. Le groupe de menace partage également des similitudes avec une autre campagne BadIIS nommée WEBJACK du fournisseur finlandais de cybersécurité WithSecure en novembre 2025, basée sur des chevauchements dans les outils, l'infrastructure de commande et de contrôle (C2) et l'empreinte victimologique.
La dernière campagne se concentre sur la compromission des serveurs IIS situés en Inde, au Pakistan, en Thaïlande, au Vietnam et au Japon, bien que Cisco ait déclaré avoir observé une « nette concentration d'attaques » en Thaïlande et au Vietnam.
“Alors que les acteurs malveillants continuent de s'appuyer sur des shells Web, SoftEther VPN et EasyTier pour contrôler les serveurs IIS compromis, leur stratégie opérationnelle a considérablement évolué”, a expliqué Talos. “Premièrement, cette dernière campagne marque un changement dans ses tactiques de référencement black hat vers une approche régionale plus ciblée. Deuxièmement, l'acteur exploite de plus en plus les utilitaires de l'équipe rouge et les outils légitimes pour échapper à la détection et maintenir une persistance à long terme.”
La chaîne d'attaque commence lorsque l'UAT-8099 obtient l'accès initial à un serveur IIS, généralement en exploitant une vulnérabilité de sécurité ou une configuration faible de la fonctionnalité de téléchargement de fichiers du serveur Web. L’acteur malveillant lance ensuite une série d’étapes pour déployer des charges utiles malveillantes :
- Exécutez des commandes de découverte et de reconnaissance pour collecter des informations système.
- Déployez des outils VPN et établissez la persistance en créant un compte utilisateur masqué nommé « admin$ »
- Lancez de nouveaux outils comme Sharp4RemoveLog (supprimer les journaux d'événements Windows), CnCrypt Protect (masquer les fichiers malveillants), OpenArk64 (anti-rootkit open source pour tuer les processus des produits de sécurité) et GotoHTTP (contrôle de serveur à distance)
- Déployez le malware BadIIS à l'aide du compte nouvellement créé
Pendant que les produits de sécurité prennent des mesures pour signaler le compte « admin$ », l'acteur malveillant a ajouté une nouvelle vérification pour vérifier si le nom est bloqué et, si tel est le cas, créer un nouveau compte utilisateur nommé « mysql$ » pour conserver l'accès et exécuter le service de fraude BadIIS SEO sans aucune interruption. De plus, il a été observé que l'UAT-8099 crée davantage de comptes cachés pour assurer la persistance.
Un autre changement notable concerne l’utilisation de GotoHTTP pour contrôler à distance le serveur infecté. L'outil est lancé par un script Visual Basic téléchargé par une commande PowerShell exécutée après le déploiement d'un shell Web.
Le malware BadIIS déployé lors des attaques se compose de deux nouvelles variantes personnalisées pour cibler des régions spécifiques : tandis que BadIIS IISHijack sélectionne les victimes au Vietnam, BadIIS asdSearchEngine cible principalement les cibles en Thaïlande ou les utilisateurs ayant des préférences linguistiques thaïlandaises.
L’objectif ultime des logiciels malveillants reste largement le même. Analyse les requêtes entrantes vers les serveurs IIS pour vérifier si le visiteur est un robot d'exploration d'un moteur de recherche. Si tel est le cas, le robot est redirigé vers un site frauduleux SEO. Cependant, si la requête provient d'un utilisateur normal et que l'en-tête Accept-Language de la requête indique Thai, elle injecte du HTML contenant une redirection JavaScript malveillante dans la réponse.
Cisco Talos a déclaré avoir identifié trois variantes distinctes au sein du cluster BadIIS asdSearchEngine :
- Variante exclusive multi-extensions, qui vérifie le chemin du fichier dans la requête et l'ignore s'il contient dans sa liste d'exclusion une extension qui peut être gourmande en ressources ou gêner l'apparence du site Web.
- Variante Load HTML Templates, qui contient un système de génération de modèles HTML pour créer dynamiquement du contenu Web en chargeant des modèles à partir du disque ou en utilisant des alternatives intégrées et en remplaçant les espaces réservés par des données aléatoires, des dates et du contenu dérivé d'URL.
- Variante d'extension de page dynamique/index de répertoire, qui vérifie si un chemin demandé correspond à une extension de page dynamique ou à un index de répertoire
“Nous estimons que l'acteur malveillant, UAT-8099, a mis en œuvre cette fonctionnalité pour cibler en priorité le contenu SEO tout en restant furtif”, a déclaré Talos à propos de la troisième variante.
“Étant donné que l'empoisonnement SEO repose sur l'injection de liens JavaScript dans les pages explorées par les moteurs de recherche, le malware se concentre sur les pages dynamiques (par exemple default.aspx, index.php) où ces injections sont les plus efficaces. De plus, en limitant les liens vers d'autres types de fichiers spécifiques, le malware évite de traiter des fichiers statiques incompatibles, empêchant ainsi la génération de journaux d'erreurs de serveur suspects. “
Certains signes indiquent également que l’auteur de la menace peaufine activement sa version Linux de BadIIS. Un artefact binaire ELF téléchargé sur VirusTotal début octobre 2025 inclut les modes de fraude proxy, injecteur et SEO comme auparavant, tout en limitant les moteurs de recherche spécifiques aux seuls robots d'exploration Google, Microsoft Bing et Yahoo.
