O Brasil entrou na mira de um grupo de cibercriminosos de língua chinesa que vem usando servidores Microsoft IIS para aplicar um golpe global de manipulação de resultados de busca e roubo de dados sensíveis.
Chamado de UAT-8099, o grupo transforma servidores legítimos em peças de uma rede de fraude em SEO, enganando algoritmos de pesquisa e empresas ao redor do mundo.
Um golpe que mistura SEO e cibercrime
O ataque combina duas frentes: fraude digital e invasão de servidores.
Depois de identificar sistemas vulneráveis, os hackers exploram falhas e instalam um web shell, ferramenta que dá controle total e invisível do servidor.
A partir daí, criam backdoors permanentes (rotas de retorno) e bloqueiam outros invasores. Assim, mesmo que o servidor seja “limpo”, eles conseguem invadir novamente.
Entre os países mais atingidos estão Brasil, Índia, Vietnã, Canadá e Tailândia, com ataques registrados desde abril de 2025.
Como o grupo se mantém invisível
Os hackers do UAT-8099 usam ferramentas poderosas e difíceis de rastrear.
Entre elas, o Cobalt Strike — usado por especialistas em segurança, mas também por criminosos — e o BadIIS, um malware feito sob medida para atacar servidores Microsoft IIS.
Eles ainda se escondem atrás de VPNs, RDPs e proxys reversos, que mascaram a origem do tráfego.
Resultado: o tráfego parece vir de um usuário legítimo, enquanto na verdade é controlado por hackers.
BadIIS: o cérebro do ataque
O BadIIS é o motor de toda a operação. Ele funciona em três modos principais:
- Proxy: conecta o servidor infectado a sistemas de comando e controle secretos.
- Injector: intercepta pesquisas no Google e injeta códigos maliciosos nos resultados.
- SEO Fraud: cria redes de backlinks falsas entre sites comprometidos, inflando artificialmente a popularidade de páginas controladas pelos criminosos.
Na prática, os sites dos hackers passam a aparecer nas primeiras posições do Google, gerando tráfego, dinheiro e oportunidades para aplicar golpes.
Tudo isso sem o dono do servidor sequer perceber.
Ataque invisível, lucro garantido
O golpe do UAT-8099 é perigoso porque não depende do clique da vítima.
Ele manipula o próprio ecossistema da internet, usando servidores legítimos como marionetes para gerar tráfego falso e redirecionar usuários.
Enquanto o site da vítima continua funcionando normalmente, por trás ele está servindo como parte de uma máquina global de manipulação digital.
Como se proteger
Empresas que utilizam servidores Microsoft IIS precisam agir rápido.
Aqui vão medidas essenciais:
- Atualize o servidor regularmente — patches de segurança são vitais.
- Monitore atividades incomuns, como acessos fora do padrão.
- Use detecção comportamental, não apenas antivírus.
- Limite o acesso remoto e evite credenciais fracas.
Um alerta global
O caso do UAT-8099 mostra uma nova fase do cibercrime: os ataques agora miram a infraestrutura da internet — e não apenas o usuário final.
Com o Brasil entre os principais alvos, o país precisa investir mais em monitoramento, resposta e conscientização cibernética.
Afinal, na guerra digital, até quem não percebe que está no campo de batalha pode acabar lutando sem saber.
