Investigadores en seguridad han detectado una nueva oleada de intrusiones dirigida a servidores Microsoft Internet Information Services (IIS) que, según el rastreo de Cisco Talos, estuvo activa entre finales de 2025 y comienzos de 2026. El actor tras estas operaciones, etiquetado como UAT-8099 y con presuntas conexiones a China, ha concentrado sus esfuerzos en Asia, con una presencia notable en Tailandia y Vietnam, aunque las evidencias apuntan a actividad también en India, Pakistán y Japón. Se trata de una campaña que combina técnicas de acceso tradicional con herramientas legítimas y utilidades de “red team” para alargar la permanencia y evitar la detección. Para un análisis técnico detallado puede consultarse el informe de Cisco Talos en su blog oficial: blog.talosintelligence.com.
La táctica principal consiste en comprometer IIS aprovechando fallos de seguridad o configuraciones débiles en mecanismos como la subida de archivos. Una vez dentro, los atacantes ejecutan tareas de reconocimiento para mapear el sistema y desplegar un conjunto de herramientas que les permiten tanto controlar el servidor como ocultar su actividad. Entre las utilidades observadas figuran web shells, comandos de PowerShell, VPNs como SoftEther y herramientas de acceso remoto como GotoHTTP, que se activa mediante un script Visual Basic descargado por PowerShell tras implantar el web shell. El uso de componentes legítimos y utilidades de pentesting dificulta discernir entre actividad administrativa y maliciosa.
Para afianzar el control se crean cuentas ocultas en los servidores, empleando nombres que intentan pasar desapercibidos —por ejemplo “admin$” y, si esa denominación queda bloqueada por soluciones de seguridad, otra denominada “mysql$”— y se han detectado múltiples cuentas adicionales con la misma finalidad. El actor también deja caer herramientas diseñadas para eliminar o manipular registros y procesos de seguridad, como variantes de utilidades para borrar eventos de Windows, cifrar y ocultar ficheros, y un anti-rootkit de código abierto que busca desactivar productos de protección. Con estos componentes, además del uso del malware conocido como BadIIS, UAT-8099 persigue un objetivo claro: explotar la infraestructura web para operaciones de fraude SEO y control remoto prolongado.
BadIIS no es único ni estático: Cisco Talos ha documentado variantes nuevas específicamente adaptadas a regiones concretas. Una de ellas se orienta sobre todo a víctimas en Vietnam, mientras que otra está diseñada para blancos en Tailandia o para respuestas a usuarios cuya preferencia de idioma sea tailandés. Esto ilustra una sofisticación adicional en la ofensiva, donde el malware diferencia entre los visitantes que son buscadores (crawlers) y los usuarios reales. Cuando detecta que la petición proviene de un motor de búsqueda, redirige al crawler a páginas destinadas a manipular el posicionamiento; si la petición pertenece a un usuario con preferencia de idioma tailandés, inyecta en la respuesta un script malicioso que provoca redirecciones. Sobre el uso de la cabecera Accept-Language y por qué importa en este contexto, puede consultarse la documentación técnica en MDN: developer.mozilla.org.
La familia BadIIS incluye distintos modos de operación para mantener la eficacia y la discreción. Algunas variantes evitan procesar rutas que contienen extensiones problemáticas para no sobrecargar el servidor ni generar errores que llamen la atención; otras incorporan sistemas para generar contenido HTML dinámico desde plantillas, rellenando marcadores con datos aleatorios o derivados de la URL; y hay versiones que sólo atacan páginas dinámicas relevantes para SEO, como index.php o default.aspx, pues son los lugares donde la inyección de enlaces y scripts resulta más rentable para manipular resultados de búsqueda. Con esta segmentación, los atacantes maximizan el impacto en buscadores y minimizan la huella que deja su código en los logs del servidor.
Además de la variante para Windows, existen señales de que UAT-8099 está desarrollando y afinando una edición para Linux. Un binario ELF subido a VirusTotal en octubre de 2025 contenía módulos que replican el comportamiento de proxy e inyección y que, en esta versión, restringen el foco a crawlers de buscadores concretos: Google, Microsoft Bing y Yahoo. El archivo en VirusTotal y otras herramientas de inteligencia ayudan a trazar la actividad y a comparar infraestructuras de mando y control; para quienes quieran explorar esas herramientas, el blog de VirusTotal ofrece recursos útiles: blog.virustotal.com.
Este actor tampoco opera completamente aislado: hay solapamientos en herramientas, infraestructura y objetivos con otra campaña denominada WEBJACK, analizada meses atrás por la firma WithSecure. Aunque cada investigación utiliza sus propias etiquetas, las coincidencias sugieren tácticas y tecnologías compartidas o reempleadas en campañas separadas. Los detalles de esa comparación pueden consultarse en los canales de investigación y blogs de seguridad, incluida la página de análisis de WithSecure: withsecure.com.
Para administradores y responsables de sitios web, la lección es clara: estos ataques ponen en evidencia que las amenazas modernas mezclan explotación técnica con ingeniería para monetizar el acceso. La prevención eficiente requiere no solo aplicar parches y endurecer IIS, sino monitorizar anomalías en cuentas de usuario, tráfico saliente y la presencia de ficheros y procesos inusuales. Microsoft mantiene documentación y guías de seguridad sobre IIS que sirven como punto de partida para mitigar vectores de explotación: learn.microsoft.com. Además, medidas como restringir la funcionalidad de subida de archivos, validar y sanitizar entradas, limitar privilegios, segmentar la red y desplegar detección de web shells y telemetría de PowerShell pueden reducir la superficie de ataque.
En el plano más amplio, la campaña remarca una tendencia que los analistas llevaban observando: el reciclaje de herramientas públicas y utilidades legítimas con fines delictivos, lo que vuelve más difícil distinguir entre administración y abuso. También destaca la economía del delito en la red: manipular resultados de búsqueda y redirigir tráfico puede convertirse en una fuente de ingresos sostenida para los atacantes sin necesidad de extorsión directa. Entender esa economía es clave para diseñar defensas que no solo cierren vulnerabilidades técnicas sino que dificulten la monetización del acceso cuando la intrusión ya ha ocurrido.
Quienes gestionen plataformas web deberían mantenerse informados a través de las publicaciones de los equipos de respuesta a incidentes y proveedores de inteligencia. El resumen técnico de Cisco Talos sobre UAT-8099 es un buen punto de partida para comprender la evolución de la campaña y los indicadores a tener en cuenta: leer el informe de Talos. Mantener prácticas de mantenimiento, revisar logs con frecuencia y tener capacidades de respuesta a incidentes actualizadas son medidas que pueden marcar la diferencia frente a este tipo de amenazas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...