Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

China-Linked UAT-8099 Targets IIS Servers in Asia with BadIIS SEO Malware

2 minute de lecture

Mis à jour :

Campagne de Malwares Ciblée sur les Serveurs IIS en Asie

Une campagne de cybersécurité menée par le groupe de menace “UAT-8099”, présumé d’origine chinoise, a ciblé des serveurs Internet Information Services (IIS) vulnérables en Asie, avec une concentration particulière en Thaïlande et au Vietnam. La campagne, active entre fin 2025 et début 2026, utilise des techniques avancées pour assurer la persistance et éviter la détection.

Points Clés :

  • Ciblage Régional : La campagne vise des serveurs IIS principalement en Inde, Pakistan, Thaïlande, Vietnam et Japon, avec une emphase sur la Thaïlande et le Vietnam.
  • Outils Utilisés : Le groupe exploite des web shells, PowerShell, des outils de VPN (SoftEther VPN, EasyTier), et des utilitaires de “red teaming”.
  • Malware Principal : Le malware “BadIIS” est déployé, avec des variantes spécifiques (BadIIS IISHijack pour le Vietnam, BadIIS asdSearchEngine pour la Thaïlande).
  • Objectif : L’objectif principal est la fraude au référencement (SEO), où les robots d’exploration des moteurs de recherche sont redirigés vers des sites frauduleux, tandis que les utilisateurs légitimes peuvent être redirigés vers du contenu malveillant basé sur leurs paramètres linguistiques.
  • Évolution des Tactiques : UAT-8099 adapte ses méthodes en utilisant des outils légitimes, en créant des comptes utilisateurs cachés (comme “admin$” ou “mysql$”) pour maintenir l’accès, et en vérifiant si des mesures de sécurité bloquent ces comptes. Des efforts sont également en cours pour développer une version Linux de BadIIS.

Vulnérabilités et Vecteurs d’Attaque :

  • Exploitation de Vulnérabilités : L’accès initial est obtenu en exploitant des failles de sécurité ou des configurations faibles dans la fonctionnalité de téléversement de fichiers des serveurs IIS.
  • Absence de CVE Spécifiques Mentionnées : L’article ne détaille pas de CVE spécifiques exploitées, mais mentionne l’exploitation de “security vulnerability” et “weak settings”.

Recommandations :

  • Mise à Jour et Patching : Maintenir les serveurs IIS à jour et appliquer les correctifs de sécurité disponibles.
  • Configuration Sécurisée : Sécuriser les configurations des serveurs IIS, notamment les fonctionnalités de téléversement de fichiers.
  • Surveillance des Journaux : Surveiller activement les journaux d’événements système et des serveurs web pour détecter des activités suspectes, telles que la création de comptes utilisateurs non autorisés ou des redirections inattendues.
  • Utilisation d’Outils de Sécurité : Déployer et configurer correctement des solutions de sécurité (pare-feu, systèmes de détection d’intrusion, antivirus) capables de détecter les outils et comportements malveillants.
  • Segmentation Réseau : Mettre en place une segmentation réseau pour limiter la propagation des menaces en cas de compromission.

Source

Vous pourriez aimer