حملة UAT-8099 الصينية تستهدف خوادم IIS في آسيا ببرمجية BadIIS لتضليل محركات البحث

حملة UAT-8099 الصينية تستهدف خوادم IIS في آسيا ببرمجية BadIIS لتضليل محركات البحث
حملة UAT-8099 الصينية تستهدف خوادم IIS في آسيا ببرمجية BadIIS لتضليل محركات البحث
شارك هذا الخبر

كشف باحثو الأمن السيبراني في Cisco Talos عن حملة جديدة مرتبطة بجهة تهديد صينية تُعرف باسم UAT-8099، جرت بين أواخر 2025 وبداية 2026. الحملة ركزت على استهداف خوادم Internet Information Services (IIS) الضعيفة في آسيا، مع تركيز ملحوظ على تايلاند وفيتنام.
المجموعة استخدمت Web Shells وPowerShell لنشر أدوات مثل GotoHTTP، ما منحها وصولاً عن بُعد إلى الخوادم المصابة. الهجمات تضمنت نشر برمجية BadIIS المعروفة، التي تُستخدم في عمليات الاحتيال عبر تحسين نتائج محركات البحث (SEO Fraud).

تطور الاستراتيجية وأدوات جديدة

رغم استمرار اعتماد المجموعة على أدوات تقليدية مثل SoftEther VPN وEasyTier، إلا أن استراتيجيتها شهدت تطوراً ملحوظاً. فقد بدأت في استخدام أدوات اختبار اختراق (Red Team Utilities) وأدوات شرعية لتفادي الاكتشاف وضمان الاستمرارية.
سلسلة الهجوم تبدأ عادةً باستغلال ثغرة أو إعدادات ضعيفة في ميزة رفع الملفات، ثم تنفيذ أوامر استكشافية، وإنشاء حسابات مخفية مثل admin$ أو mysql$ لضمان الوصول المستمر. كما نشرت المجموعة أدوات متقدمة مثل:

  • Sharp4RemoveLog لإزالة سجلات الأحداث.
  • CnCrypt Protect لإخفاء الملفات الخبيثة.
  • OpenArk64 لتعطيل منتجات الحماية.
  • GotoHTTP للتحكم عن بُعد بالخادم.
متغيرات جديدة من BadIIS

الحملة تضمنت نشر نسختين جديدتين من البرمجية:

  • BadIIS IISHijack تستهدف فيتنام.
  • BadIIS asdSearchEngine تستهدف تايلاند أو المستخدمين ذوي التفضيلات اللغوية التايلاندية.
    البرمجية تفحص الطلبات الواردة إلى الخادم، فإذا كان الزائر زاحفاً لمحرك بحث يتم توجيهه إلى موقع احتيالي، أما إذا كان مستخدماً عادياً فيُحقن الرد بشيفرة JavaScript خبيثة.
    وقد رصد الباحثون ثلاثة متغيرات داخل asdSearchEngine:
  • متغير خاص بالامتدادات المتعددة لتجنب الملفات الثقيلة أو المؤثرة على شكل الموقع.
  • متغير يعتمد على قوالب HTML ديناميكية لتوليد محتوى مزيف.
  • متغير يركز على الصفحات الديناميكية مثل default.aspx وindex.php حيث تكون عمليات الحقن أكثر فعالية.
توسع نحو لينكس وتضييق نطاق الاستهداف

إلى جانب استهداف IIS، هناك مؤشرات على تطوير نسخة Linux من BadIIS، حيث ظهر ملف ELF على VirusTotal في أكتوبر 2025 يحتوي على أوضاع الوكيل والحقن والاحتيال عبر SEO، لكنه يركز فقط على زواحف محركات البحث الكبرى مثل Google وBing وYahoo.
هذا التطور يعكس سعي المجموعة إلى تعزيز قدراتها وتوسيع نطاق استهدافها، مع التركيز على تضليل محركات البحث لتحقيق مكاسب خفية عبر التلاعب بالنتائج.

وسوم
محمد وهبى
محمد وهبى
المقالات: 859

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة