Pesquisadores em segurança detectaram uma nova onda de intrusões dirigida a servidores Microsoft Internet Information Services (IIS) que, segundo o rastreamento da Cisco Talos, esteve ativa entre finais de 2025 e início de 2026. O ator após estas operações, rotulado como UAT-8099 e com supostas ligações à China, tem concentrado os seus esforços na Ásia, com uma presença notável na Tailândia e no Vietname, embora as evidências apontam para atividade também na Índia, Paquistão e Japão. Trata-se de uma campanha que combina técnicas de acesso tradicional com ferramentas legítimas e utilitários de “red team” para ampliar a permanência e evitar a detecção. Para uma análise técnica detalhada, consultar o relatório da Cisco Talos em seu blog oficial: blog.talosintelligence.com.
A tática principal consiste em comprometer IIS aproveitando falhas de segurança ou configurações fracas em mecanismos como a subida de arquivos. Uma vez dentro, os atacantes executam tarefas de reconhecimento para mapear o sistema e implantar um conjunto de ferramentas que lhes permitem tanto controlar o servidor como ocultar sua atividade. Entre os utilitários observados estão a web shells, comandos do PowerShell, VPNs como o SoftEther e ferramentas de acesso remoto como o GotoHTTP, que é ativado através de um programa Visual Basic baixado pelo PowerShell após o lançamento do web shell. O uso de componentes legítimos e utilitários de pentesting dificulta discernir entre atividade administrativa e maliciosa.
Para afiançar o controle são criadas contas ocultas nos servidores, empregando nomes que tentam passar despercebidos – por exemplo “admin$” e, se essa denominação for bloqueada por soluções de segurança, outra denominada “mysql$” – e várias contas adicionais foram detectadas com a mesma finalidade. O ator também deixa cair ferramentas concebidas para remover ou manipular registros e processos de segurança, como variantes de utilidades para remover eventos do Windows, cifrar e esconder arquivos, e um anti-rootkit de código aberto que busca desativar produtos de proteção. Com esses componentes, além do uso do malware conhecido como BadIIS, UAT-8099 persegue um objetivo claro: explorar a infraestrutura web para operações de fraude SEO e controle remoto prolongado.
BadIIS não é único nem estático: a Cisco Talos tem documentado variantes novas especificamente adaptadas a regiões específicas. Uma delas se orienta sobretudo a vítimas no Vietnã, enquanto outra é desenhada para brancos na Tailândia ou para respostas a usuários cuja preferência de idioma seja tailandês. Isso ilustra uma sofisticação adicional na ofensiva, onde o malware diferencia entre os visitantes que são buscadores (crawlers) e os usuários reais. Quando detecta que o pedido provém de um motor de busca, redirige ao crawler para páginas destinadas a manipular o posicionamento; se o pedido pertence a um usuário com preferência de idioma tailandês, injeta na resposta um programa malicioso que provoca redireções. Sobre o uso do cabeçalho Accept-Language e por que importa neste contexto, você pode consultar a documentação técnica em MDN: developer.mozilla.org.
A família BadIIS inclui diferentes modos de operação para manter a eficácia e a discrição. Algumas variantes evitam processar rotas que contêm extensões problemáticas para não sobrecarregar o servidor ou gerar erros que chamem a atenção; outras incorporam sistemas para gerar conteúdo HTML dinâmico a partir de modelos, preenchendo marcadores com dados aleatórios ou derivados do URL; e existem versões que só atacam páginas dinâmicas relevantes para SEO, como index.php ou default.aspx, pois são os locais onde a injeção de links e scripts é mais rentável para manipular resultados de busca. Com esta segmentação, os atacantes maximizam o impacto em buscadores e minimizam a pegada que deixa seu código nos logs do servidor.
Além da variante para Windows, existem sinais de que UAT-8099 está desenvolvendo e afinando uma edição para Linux. Um binário ELF subiu para o VírusTotal em outubro de 2025 continha módulos que replicam o comportamento de proxy e injeção e que, nesta versão, restringem o foco a crawlers de buscadores concretos: Google, Microsoft Bing e Yahoo. O arquivo no VírusTotal e outras ferramentas de inteligência ajudam a traçar a atividade e comparar infra-estruturas de comando e controle; para aqueles que querem explorar essas ferramentas, o blog do VírusTotal oferece recursos úteis: blog.vírustotal.com.
Este ator também não opera completamente isolado: há sobreposições em ferramentas, infraestrutura e objetivos com outra campanha denominada WEBJACK, analisada meses atrás pela assinatura WithSecure. Embora cada pesquisa use suas próprias etiquetas, as coincidências sugerem táticas e tecnologias compartilhadas ou reempleadas em campanhas separadas. Os detalhes dessa comparação podem ser consultados nos canais de pesquisa e blogs de segurança, incluindo a página de análise de WithSecure: withsecure.com.
Para administradores e responsáveis por sites, a lição é clara: estes ataques evidenciam que as ameaças modernas misturam exploração técnica com engenharia para monetizar o acesso. A prevenção eficiente requer não só aplicar adesivos e endurecer IIS, mas monitorar anomalias em contas de usuário, tráfego saliente e presença de arquivos e processos incomuns. A Microsoft mantém documentação e guias de segurança sobre IIS que servem como ponto de partida para mitigar vetores de exploração: learn.microsoft.com. Além disso, medidas como restringir a funcionalidade de subida de arquivos, validar e sanitizar entradas, limitar privilégios, segmentar a rede e implantar detecção de web shells e telemetria de PowerShell podem reduzir a superfície de ataque.
No plano mais amplo, a campanha destaca uma tendência que os analistas levavam observando: a reciclagem de ferramentas públicas e utilitários legítimos para fins criminosos, o que torna mais difícil distinguir entre administração e abuso. Também destaca a economia do crime na rede: manipular resultados de busca e redirigir tráfego pode se tornar uma fonte de rendimento sustentada para os atacantes sem necessidade de extorsão direta. Entender essa economia é fundamental para projetar defesas que não só fechem vulnerabilidades técnicas, mas dificultem a monetização do acesso quando a intrusão já aconteceu.
Aqueles que gerem plataformas web devem ser informados através das publicações dos equipamentos de resposta a incidentes e fornecedores de inteligência. O resumo técnico da Cisco Talos sobre UAT-8099 é um bom ponto de partida para compreender a evolução da campanha e os indicadores a ter em conta: ler o relatório de Talos. Manter práticas de manutenção, rever logs com frequência e ter capacidades de resposta a incidentes atualizados são medidas que podem marcar a diferença face a este tipo de ameaças.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...