مجموعة صينية تقود شبكة احتيال SEO عالمية باستخدام خوادم IIS مخترقة

أفاد باحثون في الأمن السيبراني بظهور مجموعة ناطقة بالصينية تحمل التسمية الرمزية UAT-8099 تُنَفِّذ حملة احتيال تحسين محركات البحث (SEO) وتستغل خوادم Microsoft IIS مُخترَقة لسرقة بيانات قيّمة مثل الاعتمادات وملفات التهيئة وبيانات الشهادات. رُصدت أغلب الإصابات في دول تضمّ الهند وتايلاند وفيتنام وكندا والبرازيل، واستهدفت مؤسسات متنوعة من جامعات وشركات تقنية ومزودي اتصالات، مع تركيز على استهداف مستخدمي الأجهزة المحمولة. المجموعة اكتُشفت أول مرة في أبريل 2025.

آلية العمل والتقنيات المستخدمة

تبدأ السلسلة بالعثور على خوادم IIS ضعيفة إما عبر ثغرات أمنية أو إعدادات تحميل ملفات غير آمنة، ثم تَحمِل المجموعة «أصداف ويب» (web shells) لإجراء استطلاع وجمع معلومات النظام. تُستخدم أساليب لتصعيد الصلاحيات مثل تمكين حساب الضيف وصولًا إلى مديري النظام ثم تفعيل بروتوكول سطح المكتب البعيد (RDP). لتحصين الوصول، تُغلَق مسارات الدخول الأولى لمنع تداخل مجموعات أخرى، وتنتشر أدوات مثل Cobalt Strike كعميل خلفي بعد الاستغلال.

لتحقيق الاستمرارية والتخفي توظف المجموعة أدوات VPN مثل SoftEther وEasyTier وFast Reverse Proxy (FRP). في نهاية السلسلة تُنصَب برمجيات خبيثة من عائلة BadIIS التي تُنفَّذ بأنماط متعددة — وكيل Proxy، مُحقن Injector، ووحدة احتيال SEO — وتُعدَّل برمجياً لتفادي كشف برامج الحماية. وظيفة الحقن تتفعل عادة فقط إذا جاء الطلب من محركات البحث (مثل تمييز وكيل المستخدم Googlebot)، ثم تُدرَج جافاسكربت خبيثة داخل استجابات HTML لتحويل الزائر إلى وجهات مختارة (إعلانات غير مصرح بها أو مواقع قمار غير مشروعة) أو لتقديم روابط رجعية (backlinks) مصطنعة لتعزيز ترتيب مواقع محددة.

نطاق الضحايا والآثار العملية

أُبلغ عن إصابات موزعة جغرافياً عبر مؤسسات تعليمية وشركات تقنية ومشغلي اتصالات، مع تركيز على خوادم ذات مصداقية عالية في مناطق محددة لاستغلال ثقة محركات البحث بها. تستخدم المجموعة أداة واجهة رسومية تُسمى Everything للبحث عن ملفات قيّمة داخل المضيف المُخترَق، ثم تعبئتها للبيع أو للاستغلال اللاحق. لم يتَسِم التقرير بعدد دقيق للخوادم المخترقة، لكن النمط يدلّ على حملة منسقة تهدف إلى الربح المالي عبر تلاعب نتائج البحث وبيع بيانات حسّاسة.

توصيات فنية فورية

1. فحص خوادم IIS للكشف عن أصداف الويب والملفات المشبوهة وإغلاق واجهات رفع الملفات غير الآمنة.

2. مراجعة إعدادات الحسابات ونمط تفعيل الضيف، والتأكد من سياسات صارمة لتصعيد الصلاحيات.

3. تقييد أو مراقبة الوصول عبر RDP، وتطبيق سياسات شبكة صارمة واستخدام مصادقة متعددة العوامل على واجهات الإدارة.

4. البحث عن أدوات خلفية مثل Cobalt Strike ووجود برامج VPN غير مصرح بها (SoftEther، EasyTier، FRP) وإزالتها.

5. مراقبة تغيُّر سلوك المحتوى لطلبات Googlebot وإعداد قواعد كشف للحقن غير المشروع لمحتوى HTML والردود المعدلة.

6. مسح كامل للملفات بحثًا عن بيانات اعتماد وملفات شهادات وملفات تهيئة ذات حساسية، وتأمين أو تدوير تلك البيانات عند الاشتباه.