Группировка UAT-8099 усиливает атаки на Азию с помощью новых инструментов и региональных вредоносных программ

Злоумышленники используют веб-шеллы и PowerShell для выполнения скриптов и развертывания инструмента GotoHTTP, который предоставляет им удаленный доступ к скомпрометированным серверам. Новые варианты вредоносной программы BadIIS теперь напрямую включают код целевого региона, предлагая кастомизированные функции для каждого конкретного варианта. Эти настройки включают эксклюзивные расширения файлов, соответствующие динамические расширения страниц, конфигурации индексации каталогов и возможность загрузки HTML-шаблонов из локальных файлов. Вариант BadIIS для Linux в формате ELF был загружен в VirusTotal 1 октября 2025 года. Вредоносная программа включает режимы прокси, инжектора и мошенничества с поисковой оптимизацией (SEO), аналогичные тем, что ранее описывались Talos.

Новая активность UAT-8099 была замечена в период с августа 2025 года по начало 2026 года. Анализ данных показывает, что скомпрометированные серверы IIS расположены в Индии, Пакистане, Таиланде, Вьетнаме и Японии, с отчетливой концентрацией атак на Таиланд и Вьетнам. Хотя угроза продолжает полагаться на веб-шеллы, SoftEther VPN и EasyTier для контроля, их операционная стратегия эволюционировала. Кампания знаменует сдвиг в тактике черной поисковой оптимизации в сторону более специфического регионального фокуса. Кроме того, злоумышленники все чаще используют инструменты red team и легитимные утилиты для уклонения от обнаружения и поддержания долгосрочного присутствия в системе.

Цепочка заражения начинается с выполнения стандартных команд разведки, таких как "whoami" и "tasklist", для сбора информации о системе. Затем злоумышленники развертывают VPN-инструменты и обеспечивают устойчивость, создавая скрытую учетную запись пользователя с именем "admin$". Арсенал UAT-8099 пополнился несколькими новыми инструментами. Sharp4RemoveLog - это утилита .NET, предназначенная для очистки всех журналов событий Windows, эффективно стирающая следы для последующего расследования. CnCrypt Protect - это китайскоязычная утилита для защиты файлов, которую в этой активности используют для сокрытия вредоносных файлов и облегчения перенаправления DLL. Этот инструмент связывали с предыдущими атаками на IIS с 2024 года. OpenArk64 - это инструмент с открытым исходным кодом для противодействия руткитам. Злоумышленники используют его доступ на уровне ядра для завершения процессов продуктов безопасности, которые в ином случае защищены от удаления. GotoHTTP - это инструмент для удаленного контроля, который развертывается с помощью VBScript.

Впоследствии злоумышленники развертывают два архивных файла, содержащих последнюю версию BadIIS. Имена этих архивов коррелируют с конкретными географическими регионами, например, "VN" обозначает Вьетнам, а "TH" - Таиланд. После публикации предыдущего исследования продукты Cisco Security стали массово отмечать имя учетной записи "admin$". В ответ на это, если имя блокируется, угроза создает новую учетную запись пользователя с именем "mysql$" для сохранения доступа и поддержания мошеннического SEO-сервиса BadIIS. Используя новую учетную запись, злоумышленники повторно развертывают обновленную вредоносную программу BadIIS на скомпрометированных машинах. Это свидетельствует о стратегическом сдвиге от широкого глобального таргетинга к конкретному региональному фокусу, что подтверждается соглашениями об именовании каталогов для вредоносного ПО и его скриптов.

Talos наблюдал несколько случаев, когда UAT-8099 использовал веб-шелл для выполнения команд PowerShell, которые затем загружали и запускали вредоносный VBScript. Этот скрипт предназначен для развертывания инструмента GotoHTTP и извлечения конфигурационного файла "gotohttp.ini" на сервер C2. Это позволяет злоумышленникам получить идентификатор соединения и пароль, необходимые для удаленного управления зараженным сервером. Вредоносный скрипт содержит несколько функций, каждая из которых аннотирована злоумышленниками с использованием упрощенного китайского языка и комментариев на пиньине. Код начинается с инициализации ключевых параметров, включая URL-адреса для загрузки и выгрузки, пути к файлам и ожидаемый размер файла "gotohttp.exe". Первый функциональный блок помечен комментарием "xiazaiwenjian" ("下载文件"), что переводится как "Загрузить файл". В этом разделе код использует HTTP GET-запрос для загрузки инструмента GotoHTTP, сохраняя его в общедоступной папке как "xixixi.exe".

Второй и третий функциональные блоки помечены комментариями "jianchawenjian" ("检查文件") и "jianchawenjian" ("检查文件大小"), что переводится как "Проверить файл" и "Проверить размер файла" соответственно. В этих разделах код проверяет целостность загруженного инструмента GotoHTTP, убеждаясь, что размер файла превышает порог, определенный в предыдущем блоке. Если проверка не проходит, скрипт отправляет сообщение об ошибке на сервер C2, сообщая либо "xiazaishibai" ("下载失败" - Сбой загрузки), либо "daxiaobudui" ("大小不对" - Неверный размер). Четвертый и пятый функциональные блоки помечены комментариями "zhixingwenjian" ("执行文件") и "jianchajieguo" ("检查结果"), что переводится как "Выполнить файл" и "Проверить результат" соответственно. В этих разделах код выполняет инструмент GotoHTTP в скрытом окне, не дожидаясь завершения процесса. После пятисекундной задержки скрипт пытается загрузить файл "gotohttp.ini" на сервер C2. Если файл отсутствует, он отправляет сообщение об ошибке "gotohttp.ini bucunzai" ("gotohttp.ini 不存在" - gotohttp.ini не существует). Последние функциональные блоки помечены комментарием "qingli" ("清理"), что переводится как "Очистка". Этот раздел очищает все COM-объекты.

С сентября 2025 года Talos наблюдал два новых варианта BadIIS, используемых для SEO-мошенничества. Хотя другие вендоры также наблюдали это вредоносное ПО, этот раздел предоставляет глубокий анализ на основе обратной разработки и оценки цепочки заражения. Мы определили, что UAT-8099 настраивает эти новые кластеры BadIIS для таргетинга конкретных регионов. Первый кластер, названный BadIIS IISHijack, получил свое имя от исходного имени файла вредоносной программы. Второй кластер, BadIIS asdSearchEngine, назван в честь строк PDB, наблюдаемых в образце. BadIIS IISHijack в первую очередь нацелен на жертв во Вьетнаме. Этот вариант явно встраивает код страны в свой исходный код и создает определенный каталог при попадании вредоносной программы на машину жертвы.

Вредоносная программа BadIIS asdSearchEngine фокусируется на целях в Таиланде или пользователях с тайскими языковыми предпочтениями. Используя обработчик "CHttpModule::OnBeginRequest", вредоносная программа перехватывает входящий HTTP-трафик и анализирует заголовки, такие как "User-Agent" и "Referer", чтобы определить свои дальнейшие действия. Ключевым дополнением этой версии является использование заголовка "Accept-Language" для проверки целевого региона. Когда зараженный сервер IIS получает запрос, вредоносная программа сначала фильтрует путь к файлу. Если путь содержит расширение из своего исключающего списка, она игнорирует запрос, чтобы сохранить статические ресурсы. Затем она проверяет "User-Agent", чтобы определить, является ли посетитель поисковым роботом. Если это подтверждается, робот перенаправляется на сайт SEO-мошенничества. Однако если посетитель является обычным пользователем и вредоносная программа подтверждает, что поле "Accept-Language" указывает на тайский язык, она внедряет HTML, содержащий вредоносное перенаправление JavaScript, в ответ.

Мы идентифицировали три различных варианта в этом кластере BadIIS. Хотя они разделяют основной рабочий процесс, описанный выше, каждый обладает уникальными функциями. Более того, чтобы избежать обнаружения, некоторые конкретные варианты используют XOR-шифрование для обфускации своей конфигурации C2 и вредоносного HTML-содержимого. В то время как многие варианты используют обширные списки исключений, конкретные расширения могут различаться. Прежде чем выполнить свой вредоносный код, новый вариант BadIIS проверяет путь URL на наличие конкретных расширений файлов. Этот механизм фильтрации служит трем стратегическим целям. Расширения, критичные для внешнего вида, макета и интерактивных функций веб-сайта, остаются нетронутыми, чтобы сайт не выглядел сломанным. Фильтрация основана на расширениях типов документов и веб-связанных файлов, чтобы сосредоточить вредоносные внедрения на HTML-страницах. Архивные расширения фильтруются для сохранения ресурсов.

Другой вариант BadIIS добавляет функцию проверки, которая определяет, соответствует ли запрошенный путь динамическому расширению страницы или индексу каталога. Это определяет, направляется ли запрос в динамический поток обработки вредоносной программы. Мы оцениваем, что угроза UAT-8099 реализовала эту функцию для приоритизации таргетинга SEO-контента при сохранении скрытности. Поскольку SEO-отравление relies on injecting JavaScript links into pages that search engines crawl, вредоносная программа фокусируется на динамических страницах, где эти внедрения наиболее эффективны. Более того, ограничивая перехват другими конкретными типами файлов, вредоносная программа избегает обработки несовместимых статических файлов, тем самым предотвращая генерацию подозрительных журналов ошибок сервера.

Последний вариант BadIIS содержит сложную систему генерации HTML-шаблонов, которая динамически создает веб-контент. У него есть генератор контента, который может загружать шаблоны с диска или использовать встроенные резервные варианты, а затем выполняет обширную замену заполнителей случайными данными, датами и контентом, полученным из URL. Если на хосте не найдено файлов, BadIIS генерирует ответ, используя встроенный HTML-шаблон, заполняя заполнитель даты локальным системным временем. Примечательно, что имена переменных в этом HTML-шаблоне написаны на китайском пиньине. Анализ этих имен позволяет точно определить, как динамический шаблон использует ключевые слова для облегчения SEO-мошенничества. Ключевые слова, которые UAT-8099 намерена продвигать, непосредственно встроены в вредоносную программу BadIIS. BadIIS использует эти ключевые слова для заполнения заголовков страниц и генерации HTML-контента, тем самым способствуя SEO-мошенничеству.

Talos также идентифицировал вариант BadIIS для Linux в формате ELF, загруженный в VirusTotal, который демонстрирует функциональность, идентичную образцам, описанным в предыдущем блоге Talos, включая режимы прокси, инжектора и SEO-мошенничества. Более того, жестко запрограммированные серверы C2 вредоносной программы используют тот же домен, который мы ранее документировали. На основе этих индикаторов мы с высокой уверенностью оцениваем, что это вредоносное ПО можно отнести к UAT-8099. Хотя поведение и сигнатура пути URL соответствуют нашему предыдущему отчету, существует ключевое различие между этим вариантом BadIIS ELF и более старой версией BadIIS. В отличие от предыдущей версии, которая нацеливалась на многочисленные поисковые системы, этот вариант нацелен только на три.

Domains

• google.sneaws.com
• w3c.sneaws.com

URLs

• http://404.imxzq.com/tdks.php?domain=%s&path=%s
• http://go1.kmm5tn.ceye.io
• http://tdk.hunanduodao.com/tdk.php?domain=%s&path=%s
• https://404.imxzq.com/tdks.php?domain=%s&path=%s
• https://404.jmfwy.com/tdks.php?domain=%s&path=%s
• https://7070-ppxcx-a1-3gg5ufwp666ee644-1300076834.tcb.qcloud.la/test/zcgo/go.exe
• https://7070-ppxcx-a1-3gg5ufwp666ee644-1300076834.tcb.qcloud.la/test/zcgo/zcgo1.vbs
• https://799.cors5.vip/1018.php?domain=%s&path=%s
• https://bxphp.westooo.com/?xhost=%s&url=%s&ua=Googlespider&f=bd
• https://bxphp.westooo.com/58z.js
• https://bxphp.westooo.com/u.php
• https://fql.jmfwy.com/tdks.php?domain=%s&path=%s
• https://tdk.jmfwy.com/tdk.php?domain=%s&path=%s
• https://th.gtwql.com/1018.php?domain=%s&path=%s
• https://thov.hunanduodao.com/tdks.php?domain=%s&path=%s
• tdk.hunanduodao.com/jump/fql.js
• tdk.hunanduodao.com/jump/ov.js
• tdkfsdfa.cnmseo.com/jump/fql.js
• tdkfsdfa.cnmseo.com/jump/ll.js
• tz.jmfwy.com/jump/json.js
• tz.jmfwy.com/jump/mage.js
• tz.jmfwy.com/jump/tiger.js
• tz.ohtcm.com/jump/fql.js
• tz.ohtcm.com/jump/json.js
• tz.ohtcm.com/jump/ll.js
• tz.ohtcm.com/jump/ov.js
• tz.suucx.com/jump/ov.js

SHA256

• 11ea6aa2b31677f8a36627d4af709e70cff4a033b0975f63c19b28945e6226b7
• 187e1417fd9d4f4a44e4f7b7172aef056e9d0ab5d7a7addf61c2cfa893f74fd1
• 1ab98783a02ad9f127e776c435ef4e24a18ab93c4b4ee5ede722817d4b20771a
• 1ece4d8603f5e28a7b0f6a8c83963a57cf23e5d2fadfc138419c3a051a75c93a
• 230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9
• 265336511db98a4c40476455e2ae93aaf926abecd8f9b9d741f8d253abb80357
• 29ffb1d28f98582e81e78e6b2d5502da50c8ebdee0d40005a86b0dadece2923b
• 2cc87bd2ae25a5119cb950618850eddeb578954fa780b125c1f51d234fb405e3
• 33d3ccf82279d94a8e8e772a0c4963d65a1f3576dbd6ed7b4ab8a0ee4869f97f
• 416ef6da8a27a99cbce6517d31857c8b8b55f02e9c8118510dc33814fb6f57be
• 48ec6530470b295db455bf2c72dc4fbd18672725f45821304f966d436b428865
• 4bc189af91779582a1d29cfe187aa233e7ba50d223261fb9fbe31df5b06dff96
• 565502d2454e4b65d3bd810fccf4b429264562fefa5cfff24c905b76b3b860a6
• 56be91643dd8b86f347cc8d743c568f2d0169781ba999a2f708e503b59ecff76
• 5d320b60d2f40c200e81eaeb67a86a04782bff84582c73e726255dba2dcb821e
• 660ccb6dcfad97bfaddc667c61b1904e99a06eab981d44119092624d42912d68
• 672ffdf1e9d4848015d29a68111266ef55fc6702dfe7b2053ce677882648dd5d
• 6b60b6df8a1a95f51ffe57255c05d26eb9e113857efac3b29d6ef080b8d414f3
• 6be5c8882bc02cf4e86d2ab9d20aa3446b71dd12c73f9c6bf0faf9412d7d23ba
• 70d6bc89451e36889c045f30de22bc02e032788c8938baa0d5802e8f747c3e79
• 91e1f4fc92f104ec8b29bb56df87f8e7d8b518c63997e2ea162d3f1cac3fcac1
• 9458a75c1e24add9a48e0425e514a5f0cb46a826bff30ea7ea34e69099345f29
• 99f2c4773560eb515cfcb0ad45cf8e47c46580ab19494463160f885e048ce830
• 9a2fd34e22c5f3d3d5fb96e3cd514dad7b03ed7bf53a87e7d8d9b73987d02ece
• a34ea8fb565ac6f57eefc987c61159c1e6f1af6a8717ffb42f4b745db3bf9e31
• a781581baf6e1e335f22c9ffbb2656a2d9c8e51f463e3a48068210425df1c205
• ab03a7caed279fc6411ec19386faff3b65be34c91c3f0550eaef84a663720d0d
• bcc393c1686a0f5d493041e98dcafe0098d952d5e93eb4d2ebdb63c0efd2de33
• c7a22f5c55ac1373a5964a6598da2a9afd8a61b9d729b9bf52a93c967a7f0eda
• cdf454173bac13266e0f7db5de386439f197e2c480e1cc303dd7e806484645da
• d8c0ef6dbf7d4572f92d3a492f32061ab8f3dd46beb9ff5a0bf9bf550935458c
• e448557d26cf2917efded8e30c67db8094ce1f6db78801742988ea21f3429d7c
• e84a16c8e25a4e40926cbb4cc210a09830298b6f99d532035f5136d05ffc008c
• ebeef831c52b7e930a6456caedf7849814b8d4def2bc0e70a0e7a357621ef6bc