Grupo chinês invade servidores IIS no Brasil para manipular buscas e roubar dados

O grupo de cibercrime de língua chinesa UAT-8099 passou a mirar empresas e instituições brasileiras em uma operação que combina fraude em mecanismos de busca com roubo de informações sigilosas. A campanha, identificada desde abril de 2025, compromete servidores Microsoft IIS em diversos países, entre eles Brasil, Índia, Vietnã, Canadá e Tailândia.

Operação global

De acordo com pesquisadores, universidades, companhias de tecnologia e operadoras de telecomunicações estão entre os principais alvos. Os servidores invadidos são incorporados a uma rede que gera tráfego falso para sites promovidos pelo grupo, ao mesmo tempo em que permite a extração de dados de empresas e usuários.

Tática de invasão

O UAT-8099 busca servidores mal configurados ou com falhas conhecidas. Após a invasão, os criminosos instalam um web shell, ferramenta que garante controle remoto discreto. Em seguida, exploram vulnerabilidades para obter privilégios administrativos, bloqueiam possíveis concorrentes e criam backdoors permanentes, assegurando reentrada mesmo após tentativas de limpeza.

Ferramentas utilizadas

Para permanecer oculto, o grupo utiliza:

  • Cobalt Strike – suíte de testes de intrusão frequentemente empregada por atacantes.
  • BadIIS – malware desenvolvido especificamente para servidores IIS.
  • VPNs, RDPs e proxys reversos, que mascaram a origem do tráfego malicioso.

Papel do malware BadIIS

O BadIIS atua em três modos:

  • Proxy – conecta o servidor infectado a centros de comando e controle.
  • Injector – intercepta resultados do Google, inserindo códigos que redirecionam usuários para páginas de anúncios ou golpes.
  • SEO Fraud – cria uma rede de backlinks entre servidores comprometidos, elevando artificialmente a posição de sites escolhidos nos mecanismos de busca.

A vítima raramente percebe a invasão, pois o site legítimo continua funcionando enquanto integra a infraestrutura da fraude.

Grupo chinês invade servidores IIS no Brasil para manipular buscas e roubar dados - Imagem do artigo original

Imagem: Internet

Medidas de prevenção

Especialistas recomendam que empresas mantenham servidores IIS atualizados, adotem monitoramento constante de anomalias e utilizem ferramentas de detecção comportamental. Profissionais de SEO devem observar picos de tráfego incomuns ou backlinks suspeitos, indícios de possível comprometimento.

Os ataques seguem ativos e, segundo analistas, o Brasil permanece entre os focos prioritários do grupo.

Com informações de TecMundo