Hackers chineses manipulam Google e miram o Brasil em uma ofensiva global que já comprometeu centenas de servidores Microsoft IIS desde abril de 2025. Identificado como UAT-8099, o grupo usa técnicas avançadas para fraudar resultados de busca e roubar dados sigilosos de universidades, empresas de tecnologia e operadoras de telecomunicações instaladas no País.
A campanha também afeta Índia, Vietnã, Canadá e Tailândia, mas uma parte expressiva da infraestrutura sequestrada está em território brasileiro. Ao controlar servidores vulneráveis, os invasores redirecionam tráfego, criam backlinks artificiais e monetizam cliques em anúncios, ao mesmo tempo em que coletam informações estratégicas de suas vítimas.
Hackers chineses manipulam Google e miram o Brasil
O modus operandi começa com a varredura de servidores IIS mal configurados. Após a invasão, o UAT-8099 instala um web shell capaz de garantir acesso remoto discreto. Em seguida, os criminosos elevam privilégios administrativos, bloqueiam outros agentes maliciosos e deixam backdoors para futuras reentrada, mesmo que o sistema seja parcialmente limpo.
Ferramentas como Cobalt Strike, VPNs, RDPs e proxys reversos ajudam a mascarar a origem do tráfego, dificultando a detecção pelos times de segurança. O elemento central é o malware BadIIS, que opera em três modos: Proxy, Injector e SEO Fraud. No modo Proxy, o servidor infectado vira ponte para centros de comando ocultos; no Injector, códigos são inseridos nos resultados do Google, levando o usuário a páginas de golpe; no SEO Fraud, forma-se uma rede de backlinks que impulsiona artificialmente sites controlados pelo grupo.
A manipulação de busca não depende de enganar usuários diretamente, mas da exploração da infraestrutura da própria internet. Sites legítimos continuam funcionando, porém se tornam peças de uma rede subterrânea que altera o ecossistema de ranqueamento do Google. Em muitos casos, o administrador sequer nota que foi comprometido.
Para conter o ataque, especialistas indicam manter servidores IIS atualizados, monitorar logs em busca de anomalias e adotar soluções de detecção comportamental. Profissionais de marketing e SEO devem desconfiar de picos de tráfego sem explicação ou de backlinks desconhecidos, sinais de que o domínio pode ter sido envolvido no esquema.
Um relatório recente da Microsoft Security detalha que o UAT-8099 consegue gerar lucro duplo: capta receita com tráfego falso e ainda vende ou explora dados corporativos sensíveis obtidos durante as invasões.
No Brasil, universidades e provedores de internet são alvos prioritários, pois concentram grandes volumes de dados acadêmicos e de consumidores, respectivamente. Caso um incidente seja identificado, o primeiro passo é isolar o servidor, revogar credenciais expostas e realizar varredura completa em busca de web shells ou scripts persistentes.
Em resumo, o UAT-8099 demonstra que ataques de SEO fraudulento podem ter consequências muito além de cliques perdidos: envolvem roubo de propriedade intelectual, dados pessoais e comprometimento da confiança em serviços online.
Para acompanhar outras ameaças cibernéticas e aprender como se proteger, visite nossa editoria de Segurança e continue informado.
Crédito da imagem: Divulgação
