Cisco Talos ha identificato una nuova fase evolutiva di Uat-8099, un threat actor attivo almeno dal 2023, che tra la fine del 2025 e l’inizio del 2026 ha intensificato le operazioni contro server IIS vulnerabili in Asia, con una concentrazione marcata su Thailandia e Vietnam. L’analisi tecnica evidenzia una crescente maturità operativa, caratterizzata dall’introduzione di meccanismi di persistenza più resilienti, dall’uso sistematico di tool legittimi o da red team per eludere il rilevamento e da una regionalizzazione spinta delle varianti malware impiegate per frodi SEO.
Cosa leggere
Attività recente di Uat-8099 e sovrapposizioni con Webjack
Secondo Talos, l’attività osservata si estende da agosto 2025 fino ai primi mesi del 2026. Il censimento dei file Cisco e l’analisi del traffico DNS mostrano compromissioni di server IIS in India, Pakistan, Thailandia, Vietnam e Giappone, con una chiara densità di vittime nei due Paesi del Sud-Est asiatico. Un elemento chiave dell’indagine è la sovrapposizione ad alta confidenza con la campagna Webjack, confermata da hash malware condivisi, infrastruttura di command and control comune, victimologia coerente e promozione degli stessi siti di gambling attraverso tecniche di black hat SEO.
Uat-8099 continua a fare affidamento su web shell, SoftEther VPN ed Easytier per il controllo dei server compromessi, ma la strategia complessiva mostra un cambiamento netto. Da un lato si osserva uno spostamento da campagne SEO globali a campagne fortemente regionalizzate, dall’altro emerge un uso crescente di utility legittime per mantenere accesso e persistenza a lungo termine, riducendo la probabilità di rilevamento da parte dei sistemi di sicurezza tradizionali.
Catena di infezione e nuove tecniche di persistenza
Una volta ottenuto l’accesso iniziale al server IIS vulnerabile, Uat-8099 avvia una fase di reconnaissance standard, eseguendo comandi come whoami e tasklist per profilare il sistema. Successivamente distribuisce tool VPN e stabilisce la persistenza creando account utente nascosti, inizialmente denominati admin$. Dopo che i prodotti di sicurezza Cisco hanno iniziato a segnalare in modo esteso questo nome, l’attore ha reagito rapidamente introducendo account alternativi come mysql$, e in alcuni casi ulteriori varianti come admin1$, admin2$ o power$, dimostrando un approccio adattivo alla difesa.
Nel corso dell’intrusione, Uat-8099 amplia l’arsenale con strumenti specifici. Sharp4removelog, una utility .NET, viene utilizzata per cancellare i log eventi di Windows, compromettendo la visibilità forense post-incidente. Cncrypt Protect, strumento in lingua cinese originariamente progettato per la protezione dei file, viene abusato per nascondere componenti malevoli e facilitare DLL hijacking, una tecnica già osservata in precedenti campagne SEO contro Vietnam e Cina. Openark64, un anti-rootkit open source, viene sfruttato per terminare processi di sicurezza a livello kernel, superando le protezioni che impediscono la chiusura di alcuni servizi.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
L’abuso dello strumento Gotohttp per il controllo remoto
Un elemento centrale della nuova campagna è l’uso sistematico di Gotohttp, uno strumento di controllo remoto online. Talos ha osservato numerose istanze in cui Uat-8099 utilizza web shell per eseguire comandi PowerShell che scaricano ed eseguono VBScript malevoli. Questi script provvedono a scaricare l’eseguibile di Gotohttp, avviarlo in modalità nascosta e successivamente esfiltrare il file di configurazione gotohttp.ini verso il server C2 dell’attaccante.
Il file gotohttp.ini contiene ID di connessione e password, consentendo all’attore di controllare da remoto il server compromesso. Il codice VBScript analizzato presenta commenti in cinese semplificato e Pinyin, con funzioni chiaramente annotate per il download, la verifica dell’integrità del file, l’esecuzione e la pulizia finale degli oggetti COM. L’uso della funzione Chr(34) per inserire le virgolette è una scelta deliberata per evitare errori di sintassi e aumentare l’affidabilità dell’esecuzione automatizzata.
Nuove varianti BadIIS orientate a regioni specifiche
Dal settembre 2025 Talos ha identificato nuove varianti di BadIIS impiegate per frodi SEO, profondamente personalizzate in base alla regione target. Le analisi di reverse engineering mostrano che Uat-8099 incorpora identificatori geografici direttamente nel codice sorgente, utilizzando convenzioni di naming come Vn per il Vietnam o Th per la Thailandia, e creando directory e payload distinti per ciascuna area.
Due cluster principali emergono. BadIIS Iishijack è orientato principalmente verso il Vietnam, mentre BadIIS Asdsearchengine mostra una preferenza per la Thailandia e per ambienti con lingua impostata su thai. Queste varianti intercettano il traffico HTTP tramite handler come Chttpmodule::onbeginrequest, analizzando header quali User-Agent, Referer e, in modo sempre più rilevante, Accept-Language per determinare se la richiesta proviene da un crawler di motore di ricerca o da un utente reale nella regione target.
Quando il malware identifica crawler come Googlebot o Baiduspider, reindirizza verso siti di frode SEO. Se invece la richiesta proviene da un utente standard con lingua coerente con il target regionale, viene iniettato HTML malevolo con redirect JavaScript. Questa logica consente di massimizzare l’impatto SEO mantenendo un elevato livello di stealth, evitando alterazioni visibili che potrebbero insospettire amministratori o utenti.
Filtering avanzato e focus sulle pagine dinamiche
Le nuove varianti BadIIS implementano meccanismi di filtering sofisticati basati sulle estensioni dei file richiesti. Asset statici critici come immagini, CSS, JavaScript e font vengono esclusi per preservare l’aspetto e la funzionalità del sito compromesso. Allo stesso tempo, il malware concentra le iniezioni su pagine dinamiche e contenuti indicizzabili, come default.aspx o index.php, che hanno maggiore rilevanza per il ranking sui motori di ricerca.
Alcune varianti introducono una ulteriore validazione per verificare se il path richiesto corrisponde a una directory di indice o a una pagina dinamica, decidendo solo in quel caso di attivare il flusso malevolo. Questo approccio riduce la generazione di errori server e log sospetti, aumentando la longevità della compromissione e l’efficacia della frode SEO.
Un’evoluzione strategica orientata alla resilienza
Nel complesso, la nuova campagna di Uat-8099 segna una evoluzione strategica rilevante. L’attore abbandona progressivamente approcci rumorosi e generalisti per adottare operazioni regionali altamente mirate, supportate da tooling legittimo, persistenza modulare e malware personalizzato. L’uso combinato di web shell, account nascosti, VPN, tool di pulizia forense e varianti BadIIS specializzate indica un livello di pianificazione pensato per sostenere servizi di frode SEO nel lungo periodo, anche in presenza di contromisure attive.
Per i difensori, il caso Uat-8099 evidenza come le minacce contro i server IIS non si limitino più a defacement o compromissioni opportunistiche, ma rappresentino ecosistemi criminali strutturati, capaci di adattarsi rapidamente ai blocchi e di sfruttare ogni debolezza di configurazione o patching ritardato. La regionalizzazione del malware e l’abuso di strumenti legittimi rendono queste campagne più difficili da individuare, imponendo un monitoraggio più profondo dei comportamenti applicativi e una maggiore attenzione alla gestione degli account e dei log di sistema.
Iscriviti a Matrice Digitale
Ricevi le notizie principali direttamente nella tua casella di posta.
Niente spam, disiscriviti quando vuoi.
