Cómo una búsqueda normal en Google puede comprometer tu dispositivo

El grupo de hackers UAT-8099 está llevando a cabo en este momento una campaña activa para promover contenido malicioso en los resultados de búsqueda, comprometiendo servidores Microsoft IIS en varios países. Los investigadores de Cisco Talos descubrieron que los miembros de este grupo de habla china combinan spam en buscadores con el robo de datos sensibles —desde archivos de configuración hasta certificados SSL. Entre las víctimas se encuentran universidades, empresas de telecomunicaciones y organizaciones tecnológicas en India, Tailandia, Vietnam, Canadá y Brasil.

Para lograr sus objetivos los atacantes seleccionan servidores IIS de confianza y vulnerables, en los que alojan web shells y el malware BadIIS, que oculta su actividad y sustituye el contenido de las páginas web. Para elevar privilegios utilizan herramientas públicas; a continuación implantan un proxy inverso FRP, la VPN SoftEther y la utilidad EasyTier. Luego habilitan la cuenta de invitado con privilegios de administrador, abren acceso remoto por RDP y crean un usuario oculto con privilegios persistentes de administrador.

Tras hacerse con el control del sistema, los miembros de UAT-8099 analizan los archivos: revisan registros, configuraciones, credenciales almacenadas y certificados, incluso con la ayuda de la utilidad Everything. La información obtenida se archiva con WinRAR y se prepara para su extracción del servidor. Para proteger su infraestructura, los atacantes instalan además D_Safe_Manage —una herramienta legítima que impide la interferencia de otros atacantes.

Un aspecto notable es la implementación de la lógica maliciosa en el componente BadIIS. Permite, sin ser detectado por usuarios ni por buscadores, realizar redirecciones e inyectar scripts maliciosos. El procesamiento de las peticiones depende de los valores de las cabeceras HTTP "User-Agent" y "Referer". Si la petición proviene de un bot de Google y contiene palabras clave como "casino" o "bonus", se realiza el proxy.

Si la interacción procede de un usuario real pero con llegada desde un motor de búsqueda, se inyecta código JavaScript que descarga un archivo desde un servidor C2 y redirige al usuario a un sitio señuelo —generalmente con contenido ilegal o publicidad de juegos de azar.

En la nueva versión de BadIIS se identificaron dos clústeres de muestras. Uno presenta una detectabilidad extremadamente baja; el otro contiene cadenas de depuración en chino simplificado. Ambas variantes usan la API WriteEntityChunks para incrustar contenido en la respuesta del servidor, lo que dificulta la detección a nivel de red y eludir los sistemas de análisis de tráfico. Al mismo tiempo, incorporan una lógica completa para manipulaciones de SEO: el malware envía a Google decenas de enlaces de retroceso con contenido HTML que simula páginas de autoridad. Esto permite impulsar los sitios infectados en la clasificación de búsqueda.

Para mantener presencia a largo plazo en el servidor comprometido, el grupo aplica DLL sideloading y carga Cobalt Strike a través del componente legítimo de Windows inetinfo.exe. La primera etapa del cargador se coloca en wmicodegen.dll, y a partir de ahí se descifran varias capas de la carga útil, incluido un cargador personalizado y un beacon camuflado como tráfico de CDN y Exchange.

Según los especialistas, este ataque híbrido, que combina optimización maliciosa para buscadores con robo de credenciales, indica un alto nivel de preparación y la existencia de una infraestructura claramente estructurada. En cada caso, los atacantes configuran detalladamente el entorno, teniendo en cuenta las particularidades lingüísticas de la región, las firmas de los escáneres y los mecanismos de defensa, lo que reduce la probabilidad de detección.