Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 4 Ottobre 2025 09:05
Un gruppo di criminalità informatica cinese noto come UAT-8099 è stato identificato da Cisco Talos come responsabile di una vasta campagna di attacchi. Gli attacchi, iniziati ad aprile 2025, hanno come bersaglio principale i server Microsoft Internet Information Services (IIS) vulnerabili, ubicati in vari paesi tra cui India, Thailandia, Vietnam, Canada e Brasile, che sono stati sistematicamente presi di mira.
Le organizzazioni che gestiscono server IIS sono invitate ad applicare immediatamente le più recenti patch di sicurezza e a restringere i tipi di caricamento dei file autorizzati, questo a causa del fatto che gli utenti dei dispositivi mobili con sistema operativo Android e iOS risultano essere particolarmente vulnerabili a causa delle pagine di download di APK personalizzate e dei siti di hosting per app iOS travestiti da risorse ufficiali.
La loro attività illecita è incentrata sull’alterazione degli indici di ottimizzazione dei motori di ricerca (SEO) al fine di incanalare traffico di elevato valore verso siti di pubblicità non autorizzati e di gioco d’azzardo illegali, estraendo nel contempo dati sensibili da prestigiose istituzioni.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La prima fase della campagna UAT-8099 consiste nell’esecuzione di scansioni automatiche al fine di rilevare server IIS obsoleti che permettono il caricamento di file senza alcuna restrizione. Una volta rilevato un server mal configurato, viene implementata una web shell ASP.NET open source da parte degli operatori, i quali eseguono comandi di sistema e raccolgono informazioni sull’ambiente.
La presenza di questo punto d’appoggio permette di generare un account utente temporaneo, al quale sono successivamente assegnati diritti di amministratore, abilitando l’accesso mediante il protocollo Remote Desktop (RDP). A seguito di ciò, il gruppo procede all’installazione di ulteriori shell web e utilizza strumenti di hacking pubblici combinati con Cobalt Strike al fine di assicurare la persistenza nel sistema.
Nel corso di questa fase, gli studiosi di Talos hanno individuato molteplici nuove versioni della famiglia di malware BadIIS. Le medesime varianti mostrano un minimo di rilevamento da parte degli antivirus e includono messaggi di debug in cinese semplificato, il che suggerisce uno sviluppo incessante da parte di aggressori che parlano cinese come lingua madre.
Al fine di consolidare il controllo, UAT-8099 attiva RDP, provvede all’installazione di SoftEther VPN nonché dello strumento VPN non centralizzato EasyTier e configura i tunnel proxy inversi FRP. Segue il dumping delle credenziali tramite Procdump e la compressione dei dati con WinRAR, mentre l’installazione di D_Safe_Manage, uno strumento di sicurezza IIS utilizzato per scopi dannosi, controlla gli intrusi concorrenti.
Nel momento in cui viene individuato Googlebot, il gestore offre contenuti creati ad hoc e backlink per i crawler di ricerca, aumentando in modo artificioso la reputazione del server e ottimizzando il posizionamento per i siti dannosi. Diversamente, agli utenti umani che arrivano tramite i motori di ricerca viene fornito del codice JavaScript che automaticamente li reindirizza verso siti di gioco d’azzardo o di pubblicità.
Implementare soluzioni di sicurezza avanzate, come criteri di password stringenti e meccanismi di blocco account con soglie ben definite, uniti a un monitoraggio costante dei registri dei server web, rappresenta una difesa cruciale contro le tecniche di attacco come l’UAT-8099. L’adozione di strumenti per il rilevamento degli endpoint dotati di funzionalità di analisi comportamentale può inoltre essere determinante nell’individuazione di utilizzi anomali di web shell e di beacon specifici come Cobalt Strike.
RedazioneIn Australia, a breve sarà introdotta una normativa innovativa che vieta l’accesso ai social media per i minori di 16 anni, un’iniziativa che farà scuola a livello mondiale. Un’analoga misura ...
Il Dipartimento di Giustizia degli Stati Uniti ha accusato i fratelli gemelli Muneeb e Sohaib Akhter di aver cancellato 96 database contenenti informazioni sensibili, tra cui verbali di indagini e doc...
Malgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansi...
Secondo Eurostat nel 2023 solo il 55% dei cittadini dell’Unione Europea tra i 16 e i 74 anni possedeva competenze digitali almeno di base, con forti differenze tra paesi: si va da valori intorno all...
Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
