Campanha de ciberespionagem ligada à China ataca servidores IIS na Ásia

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança da Cisco Talos identificaram uma nova campanha de ciberespionagem atribuída ao ator de ameaças UAT-8099, vinculado à China, que ocorreu entre o final de 2025 e o início de 2026. A campanha tem como alvo servidores vulneráveis do Internet Information Services (IIS) na Ásia, com foco específico em Tailândia e Vietnã. O grupo utiliza shells web e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, permitindo acesso remoto aos servidores comprometidos.

A UAT-8099 já havia sido documentada anteriormente, explorando servidores IIS em países como Índia, Brasil e Canadá para fraudes de SEO. A nova fase da campanha mostra uma evolução nas táticas, com um foco regional mais específico e o uso de ferramentas legítimas para evitar detecções. O ataque começa com a exploração de vulnerabilidades nos servidores, seguido pela criação de contas de usuário ocultas para manter o acesso. O malware BadIIS foi adaptado para direcionar ataques a regiões específicas, injetando JavaScript malicioso em respostas de usuários que falam tailandês.

A Cisco Talos observou que a UAT-8099 está refinando sua versão do BadIIS para Linux, limitando os motores de busca alvo a Google, Bing e Yahoo! O impacto potencial dessas atividades é significativo, especialmente em um contexto onde a segurança de servidores web é crítica para a operação de muitas empresas.

Fonte: https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
30/01/2026 • Risco: ALTO
MALWARE

Campanha de ciberespionagem ligada à China ataca servidores IIS na Ásia

RESUMO EXECUTIVO
A UAT-8099 representa uma ameaça significativa para empresas que utilizam servidores IIS, com um foco em fraudes de SEO que podem comprometer a integridade e a reputação das organizações. A evolução das táticas do grupo e a adaptação do malware para diferentes regiões aumentam a urgência de ações de mitigação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a fraudes e interrupções operacionais.
Operacional
Fraudes de SEO e comprometimento de servidores.
Setores vulneráveis
['Tecnologia da Informação', 'E-commerce', 'Serviços Financeiros']

📊 INDICADORES CHAVE

Campanha identificada em múltiplos países da Ásia. Indicador
Foco específico em Tailândia e Vietnã. Contexto BR
Variações do malware BadIIS adaptadas para regiões específicas. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a configuração de segurança dos servidores IIS e a presença de contas ocultas.
2 Aplicar patches de segurança e monitorar logs de acesso para identificar atividades suspeitas.
3 Monitorar continuamente o tráfego de rede e as solicitações aos servidores IIS para detectar padrões anômalos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de servidores IIS, que são comuns em muitas empresas. O ataque pode resultar em fraudes e comprometimento de dados.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).