Les chercheurs en sécurité ont détecté une nouvelle vague d'intrusions sur les serveurs Microsoft Internet Information Services (IIS) qui, selon le suivi de Cisco Talos, était active entre la fin de 2025 et le début de 2026. L'acteur qui a suivi ces opérations, appelé UAT-8099 et avec des liens supposés avec la Chine, a concentré ses efforts en Asie, avec une présence remarquable en Thaïlande et au Vietnam, bien que des preuves indiquent également l'activité en Inde, au Pakistan et au Japon. C'est une campagne qui combine les techniques d'accès traditionnelles avec des outils légitimes et des utilitaires « réseau d'équipe » pour étendre la permanence et éviter la détection. Pour une analyse technique détaillée, consultez le rapport de Cisco Talos sur votre blog officiel : blog.talosintelligence.com.
La principale tactique consiste à compromettre l'IS en profitant des défaillances de sécurité ou des configurations faibles dans des mécanismes tels que le téléchargement de fichiers. Une fois à l'intérieur, les attaquants effectuent des tâches de reconnaissance pour cartographier le système et déployer un ensemble d'outils qui leur permettent de contrôler le serveur et de cacher son activité. Les utilitaires observés incluent les shells web, les commandes PowerShell, les VPN tels que SoftEther et les outils d'accès à distance tels que GotoHTTP, qui est activé par un script Visual Basic téléchargé par PowerShell après l'installation du shell web. L'utilisation de composants légitimes et d'utilitaires d'évaluation rend difficile de discerner entre activité administrative et activité malveillante.
Pour renforcer le contrôle, des comptes cachés sont créés sur des serveurs, en utilisant des noms qui essaient de passer inaperçus - par exemple "admin $" et, si ce nom est bloqué par des solutions de sécurité, un autre appelé "myshql $" - et plusieurs comptes supplémentaires ont été détectés dans le même but. L'acteur perd également des outils conçus pour supprimer ou manipuler des enregistrements et des processus de sécurité, tels que des variantes d'utilité pour supprimer des événements Windows, des fichiers de cryptage et de cache, et un anti-rootkit open source qui cherche à désactiver les produits de protection. Avec ces composants, en plus de l'utilisation de logiciels malveillants connus sous le nom de BadIIS, UAT-8099 poursuit un objectif clair: exploiter l'infrastructure web pour les opérations de fraude de référencement et la télécommande prolongée.
BadIS n'est pas unique ou statique: Cisco Talos a documenté de nouvelles variantes spécifiquement adaptées à des régions spécifiques. L'un vise principalement les victimes au Vietnam, tandis que l'autre vise des cibles en Thaïlande ou des réponses aux utilisateurs dont la langue préférée est le thaï. Ceci illustre une sophistication supplémentaire dans l'offensive, où les logiciels malveillants différencient les visiteurs qui sont des moteurs de recherche (crawlers) et les utilisateurs réels. Lorsqu'il détecte que la requête vient d'un moteur de recherche, il redirige le rampeur vers des pages destinées à manipuler le positionnement; si la requête appartient à un utilisateur avec une préférence de langue thaïlandaise, il injecte un script malveillant qui provoque des redirections dans la réponse. En ce qui concerne l'utilisation de l'en-tête Accept-Langue et la raison pour laquelle il importe dans ce contexte, la documentation technique peut être consultée en MDN: evooper.mozilla.org.
La famille BadIS comprend différents modes de fonctionnement pour maintenir l'efficacité et la discrétion. Certaines variantes évitent les itinéraires de traitement qui contiennent des extensions problématiques pour ne pas surcharger le serveur ou générer des erreurs qui appellent l'attention; d'autres intègrent des systèmes pour générer du contenu HTML dynamique à partir de modèles, remplir des marqueurs avec des données aléatoires ou des dérivés d'URL; et il y a des versions qui attaquent seulement les pages dynamiques pertinentes pour le référencement, comme l'index. php ou par défaut aspx, car ce sont les endroits où l'injection de liens et de scripts est la plus rentable pour gérer les résultats de recherche. Avec cette segmentation, les attaquants maximisent l'impact sur les moteurs de recherche et minimisent l'empreinte qui laisse leur code sur la connexion du serveur.
En plus de la variante Windows, il y a des signes que UAT-8099 est en train de développer et d'ajuster une édition pour Linux. Un binaire ELF téléchargé sur VirusTotal en octobre 2025 contenait des modules qui répliquent le comportement de proxy et d'injection et dans cette version limitent l'attention aux moteurs de recherche en béton : Google, Microsoft Bing et Yahoo. Le fichier VirusTotal et d'autres outils d'intelligence aident à tracer l'activité et à comparer les infrastructures de commande et de contrôle; pour ceux qui veulent explorer ces outils, le blog VirusTotal offre des ressources utiles: blog.virustotal.com.
Cet acteur ne fonctionne pas non plus complètement isolé : il y a des chevauchements d'outils, d'infrastructures et d'objectifs avec une autre campagne appelée WEBJACK, analysée il y a des mois par la firme WithSecure. Bien que chaque recherche utilise ses propres étiquettes, les coïncidences suggèrent des tactiques et des technologies communes ou un réemploi dans des campagnes distinctes. Les détails de cette comparaison peuvent être trouvés sur les canaux de recherche et les blogs de sécurité, y compris la page d'analyse WithSecure: avecsequre.com.
Pour les administrateurs et les gestionnaires de site, la leçon est claire : ces attaques montrent que les menaces modernes mêlent exploitation technique et ingénierie pour monétiser l'accès. La prévention efficace exige non seulement l'application de correctifs et le durcissement de l'IIS, mais aussi la surveillance des anomalies dans les comptes utilisateurs, le trafic sortant et la présence de fichiers et de processus inhabituels. Microsoft tient à jour la documentation et les guides de sécurité sur les SI qui servent de point de départ pour atténuer les vecteurs d'exploitation: learn.microsoft.com. En outre, des mesures telles que la limitation de la fonctionnalité de téléchargement de fichiers, la validation et l'assainissement des entrées, la limitation des privilèges, le segmentage du réseau et le déploiement des shells web PowerShell et la détection de télémétrie peuvent réduire la surface d'attaque.
Au niveau plus général, la campagne reflète une tendance que les analystes observaient : le recyclage des outils publics et des profits légitimes à des fins criminelles, ce qui rend plus difficile la distinction entre administration et abus. Elle met également en lumière l'économie du réseau : la manipulation des résultats de la recherche et la réorientation du trafic peuvent devenir une source de revenus durable pour les agresseurs sans extorsion directe. Comprendre que l'économie est la clé pour concevoir des défenses qui non seulement ferment les vulnérabilités techniques mais rendent difficile la monétisation de l'accès lorsque l'intrusion a déjà eu lieu.
Ceux qui gèrent des plateformes Web devraient être tenus informés par les publications des équipes d'intervention en cas d'incident et des fournisseurs de renseignements. Le résumé technique de Cisco Talos sur UAT-8099 est un bon point de départ pour comprendre l'évolution de la campagne et les indicateurs à prendre en compte: lire le rapport de Talos. Le maintien des pratiques de maintenance, l'examen fréquent de la connexion et la mise à jour des capacités d'intervention en cas d'incident sont des mesures qui peuvent changer ce type de menace.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...