Hackers chineses manipulam Google e miram servidores Brasil

Hackers chineses estão invadindo servidores Microsoft IIS no Brasil para manipular resultados do Google e furtar informações sigilosas de empresas e usuários, revelou um relatório de 06/10/2025. O grupo, identificado como UAT-8099, opera desde abril e já comprometeu máquinas também na Índia, Vietnã, Canadá e Tailândia.

Ao assumir o controle dos servidores, os criminosos os convertem em nós de um esquema global de fraude em SEO. A tática gera tráfego artificial para sites maliciosos e, ao mesmo tempo, abre caminho para o roubo de credenciais, documentos corporativos e dados pessoais.

Hackers chineses manipulam Google e miram servidores Brasil

O ataque começa com a busca por servidores IIS mal configurados. Uma vez dentro, o UAT-8099 instala um web shell que garante acesso remoto permanente. Em seguida, brechas adicionais são exploradas para obter privilégios administrativos, bloquear outras ameaças e criar backdoors que sobrevivem mesmo a tentativas de limpeza pela equipe de TI da vítima.

Ferramentas consagradas em testes de intrusão, como Cobalt Strike, e o malware BadIIS sustentam a permanência clandestina. VPNs, RDPs e proxys reversos disfarçam a origem do tráfego, tornando a atividade quase invisível para firewalls e antivírus tradicionais.

O BadIIS atua em três modos. No Proxy, conecta o servidor contaminado a centros de comando ocultos. No Injector, intercepta pesquisas no Google e injeta código que redireciona o usuário para páginas de publicidade ou golpes. Já o modo SEO Fraud constrói uma rede de backlinks entre servidores sequestrados, elevando artificialmente a posição de sites controlados pelos hackers nos mecanismos de busca.

Segundo analistas, o método é sofisticado porque dispensa contato direto com a vítima final: basta alterar a infraestrutura que sustenta a internet. Em muitos casos, o site comprometido continua operando normalmente, enquanto, nos bastidores, contribui para a manipulação do ecossistema de busca e o vazamento de dados estratégicos.

Para mitigar o risco, especialistas recomendam aplicar atualizações regulares no IIS, monitorar anomalias de tráfego e adotar soluções de detecção comportamental. Picos de visitas sem origem clara ou listas de backlinks suspeitos podem indicar que um domínio foi cooptado pelo UAT-8099.

O funcionamento detalhado do BadIIS está descrito em um relatório da Kaspersky, que reforça a urgência de revisar políticas de segurança e de segmentar a rede para limitar movimentos laterais dos invasores.

Quer aprofundar seus conhecimentos em cibersegurança e proteger seu negócio? Visite nossa seção de Ciência e Tecnologia e acompanhe as novidades. Fique atento às próximas atualizações!

Crédito da imagem: TecMundo