UAT-8099 SEO詐欺キャンペーン

サイバーセキュリティ研究者は最近、コードネームUAT-8099と呼ばれる中国語圏のサイバー犯罪グループを発見しました。このグループは、Microsoftインターネット インフォメーション サービス（IIS）サーバーを標的とした高度な攻撃を実行しています。このグループは、検索エンジン最適化（SEO）詐欺や、高価値な認証情報、構成ファイル、証明書データの窃盗に関与しており、世界中の組織に重大なリスクをもたらしています。

グローバルリーチとターゲットプロファイル

このグループの活動は主にインド、タイ、ベトナム、カナダ、ブラジルで観測されており、大学、テクノロジー企業、通信事業者に影響を与えています。2025年4月に初めて検出されたUAT-8099の攻撃は、主にAndroidとiOSの両方のデバイスを含むモバイルユーザーを対象としています。

このアクターは、SEO詐欺に関与する中国関連の脅威クラスターの増加の一翼を担っています。ちなみに、別のアクターであるGhostRedirectorによる最近のキャンペーンでは、コードネーム「Gamshen」と呼ばれる悪意のあるIISモジュールを使用して、同様の地域を標的として少なくとも65台のWindowsサーバーが侵害されました。

攻撃方法と初期アクセス

UAT-8099は、標的地域における高価値IISサーバーを慎重に選定し、セキュリティ上の脆弱性や脆弱なファイルアップロード設定を悪用します。その手法は以下のとおりです。

• システム情報を収集するために Web シェルをアップロードしています。
• ゲスト アカウントを介して権限を昇格し、管理者レベルのアクセスに到達します。
• 継続的なアクセスのためにリモート デスクトップ プロトコル (RDP) を有効にします。

グループはまた、最初の足掛かりを確保するための措置を講じ、他の脅威アクターによる同じサーバーへの侵入を阻止します。Cobalt Strikeは、エクスプロイト後の活動における主要なバックドアとして展開されます。

永続性とマルウェアの展開

UAT-8099は長期的な制御を維持するために、RDPとSoftEther VPN、EasyTier、Fast Reverse Proxy（FRP）などのVPNツールを組み合わせます。この攻撃チェーンは、DragonRankやOperation Rewrite（CL-UNK-1037）を含む複数の中国語圏クラスタで使用されているツールであるBadIISマルウェアのインストールで完了します。

侵入後、攻撃者はEverythingなどのGUIツールを用いて、転売やさらなる悪用のために貴重なデータを探し出し、盗み出します。侵入されたサーバーの正確な数は不明です。

BadIIS マルウェア: モードと機能

導入されたBadIISの亜種は、ウイルス対策ソフトによる検出を回避するために特別に改変されており、Gamshenの機能を反映しています。SEO操作は、Googlebotからのリクエストがあった場合にのみ実行されます。BadIISは主に3つのモードで動作します。

プロキシ モード: エンコードされた C2 サーバー アドレスを抽出し、それらをプロキシとして使用してセカンダリ サーバーからコンテンツを取得します。

インジェクター モード: Google 検索結果からのブラウザ リクエストをインターセプトし、C2 サーバーから JavaScript を取得して HTML 応答に埋め込み、ユーザーを許可されていないサイトや広告にリダイレクトします。

SEO 詐欺モード: 複数の IIS サーバーを侵害し、バックリンクを使用して検索エンジンのランキングを人為的に高めます。

SEO詐欺とバックリンク戦術

UAT-8099は、ウェブサイトの可視性を高めるために、標準的なSEO戦略であるバックリンクを採用しています。Googleはバックリンクを評価して新しいページを発見し、キーワードの関連性を測定します。バックリンクの数を増やすとランキングは向上しますが、質の低いバックリンクや人為的なバックリンクはGoogleからペナルティを受ける可能性があります。

UAT-8099 は、マルウェアの展開、Web シェルの使用、戦略的なバックリンクを組み合わせることで、検索結果を操作し、侵害されたサーバーを効果的に収益化できるため、SEO 詐欺の分野ではハイリスクなアクターとなっています。