Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
320x100 Itcentric
Enterprise BusinessLog 970x120 1
Microsoft IIS bajo ataque de hackers chinos: cómo el UAT-8099 explota sitios web con autoridad

Microsoft IIS bajo ataque de hackers chinos: cómo el UAT-8099 explota sitios web con autoridad

Redazione RHC : 4 octubre 2025 09:08

Cisco Talos ha identificado a un grupo cibercriminal chino conocido como UAT-8099 como responsable de una campaña de ataques a gran escala. Los ataques, que comenzaron en abril de 2025, se dirigieron principalmente a servidores vulnerables de Microsoft Internet Information Services (IIS) ubicados en varios países, como India, Tailandia, Vietnam, Canadá y Brasil, que fueron atacados sistemáticamente.

Se recomienda a las organizaciones que administran servidores IIS que apliquen de inmediato los últimos parches de seguridad y restrinjan los tipos de cargas de archivos permitidas, ya que los usuarios de dispositivos móviles Android e iOS son particularmente vulnerables a las páginas de descarga de APK personalizadas y a los sitios de alojamiento de aplicaciones iOS disfrazados de recursos oficiales.

Su actividad ilícita se centra en alterar los índices de optimización de motores de búsqueda (SEO) para canalizar tráfico de alto valor hacia sitios de publicidad no autorizados y juegos de azar ilegales, al tiempo que extraen datos confidenciales de instituciones prestigiosas.

La primera fase de la campaña UAT-8099 consiste en ejecutar análisis automáticos para detectar servidores IIS obsoletos que permiten la carga de archivos sin restricciones. Una vez detectado un servidor mal configurado , los operadores implementan un shell web ASP.NET de código abierto que ejecuta comandos del sistema y recopila información sobre el entorno.

La presencia de este punto de soporte les permite generar una cuenta de usuario temporal, a la que se le asignan derechos de administrador, lo que permite el acceso mediante el Protocolo de Escritorio Remoto (RDP). Posteriormente, el grupo instala shells web adicionales y utiliza herramientas de hacking públicas combinadas con Cobalt Strike para garantizar la persistencia del sistema.

Durante esta fase, los investigadores de Talos identificaron múltiples versiones nuevas de la familia de malware BadIIS. Estas mismas variantes mostraron una detección mínima por parte de los programas antivirus e incluían mensajes de depuración en chino simplificado, lo que sugiere un desarrollo continuo por parte de atacantes de habla china.

Para consolidar el control, UAT-8099 activa RDP, instala SoftEther VPN y la herramienta EasyTier VPN no centralizada , y configura túneles proxy inversos FRP. A continuación, se realiza el volcado de credenciales mediante Procdump y la compresión de datos con WinRAR. D_Safe_Manage, una herramienta de seguridad de IIS utilizada con fines maliciosos, se instala para supervisar la presencia de intrusos.

Cuando se detecta Googlebot, el operador envía contenido especialmente diseñado y backlinks a los rastreadores de motores de búsqueda, lo que mejora artificialmente la reputación del servidor y optimiza el posicionamiento para sitios maliciosos. De lo contrario, los usuarios que llegan a través de motores de búsqueda reciben código JavaScript que los redirige automáticamente a sitios de apuestas o publicidad.

Implementar soluciones de seguridad avanzadas, como políticas de contraseñas estrictas y mecanismos de bloqueo de cuentas con umbrales bien definidos, junto con la monitorización constante de los registros del servidor web, es una defensa crucial contra técnicas de ataque como UAT-8099. Adoptar herramientas de detección de endpoints con capacidades de análisis de comportamiento también puede ser crucial para identificar el uso anómalo de web shells y balizas específicas como Cobalt Strike.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
Gemini 3.0 Pro: Google se prepara para el salto generacional y pretende superar a GPT-5 y Claude 4.5
Di Redazione RHC - 25/10/2025

En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...

Immagine del sito
Explosión crítica de RCE en Microsoft WSUS explotada activamente. CISA advierte: riesgo inminente.
Di Redazione RHC - 25/10/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...