Um grupo de cibercriminosos de língua chinesa, identificado como UAT-8099, foi apontado pela Cisco Talos como responsável por uma série de ataques a servidores IIS (Internet Information Services) de alto valor em diversos países, incluindo o Brasil. O objetivo principal é fraudar resultados de mecanismos de busca (SEO) para obter ganhos financeiros ilegais.
De acordo com o relatório técnico divulgado em abril de 2025 pela Cisco Talos — braço de inteligência de ameaças da Cisco —, os ataques do grupo têm foco em servidores IIS com boa reputação e alto tráfego, explorando falhas conhecidas em suas configurações. Após invadir os sistemas, os criminosos redirecionam usuários para anúncios não autorizados ou sites de jogos de azar ilegais, manipulando o tráfego web em benefício próprio.
Como o ataque funciona
O grupo UAT-8099 utiliza um método sofisticado de invasão. Ao identificar uma vulnerabilidade, os invasores instalam um “web shell”, ferramenta que lhes permite executar comandos remotamente e coletar dados do sistema. Em seguida, habilitam a conta de convidado, elevam seus privilégios a administrador e passam a controlar o servidor por meio do Protocolo de Área de Trabalho Remota (RDP).
Entre os dados coletados estão logs, credenciais, arquivos de configuração e até certificados digitais confidenciais, que podem ser revendidos ou explorados em outros ataques cibernéticos.
Regiões e setores mais afetados
A análise de tráfego e o levantamento de DNS realizados pela Cisco Talos indicam que os ataques estão concentrados em Índia, Tailândia, Vietnã, Canadá e Brasil. As vítimas incluem universidades, empresas de tecnologia e provedores de telecomunicações, todos com presença digital significativa e boa reputação de domínio — fator que aumenta o impacto das fraudes de SEO.
Segundo a Cisco, a escolha desses alvos permite ao grupo UAT-8099 aumentar a credibilidade dos redirecionamentos falsos, dificultando a detecção por usuários e mecanismos de busca.
Impacto e recomendações
Especialistas em segurança alertam que ataques como o do UAT-8099 reforçam a importância de manter servidores IIS atualizados, aplicar políticas de acesso restritas e monitorar atividades de rede em busca de comportamentos anômalos.
Organizações que utilizam IIS devem também revisar permissões de contas de usuário e monitorar possíveis ativações indevidas de contas convidadas — uma das táticas usadas pelo grupo para escalar privilégios.
A Cisco Talos disponibilizou uma análise completa (em inglês) com detalhes técnicos, indicadores de comprometimento e medidas de mitigação. O relatório pode ser acessado no blog oficial: Cisco Talos Intelligence – UAT-8099.
FONTE: APURA / talosintelligence
