Eine raffinierte Malware-Kampagne kompromittiert Microsoft-IIS-Server in Thailand und Vietnam. Die Angreifer manipulieren Suchmaschinen-Rankings für betrügerische Weiterleitungen.
Die als BadIIS bekannte Schadsoftware hat eine neue, gefährliche Entwicklungsstufe erreicht. Sicherheitsforscher beobachten seit Ende 2025 eine gezielte Angriffswelle auf Unternehmen in Südostasien. Verantwortlich ist die mit China in Verbindung gebrachte Hackergruppe UAT-8099. Sie nutzt Sicherheitslücken in Webservern für groß angelegten SEO-Betrug.
So dringt die Schadsoftware in Server ein
Der Angriff beginnt mit der Ausnutzung ungepatchter oder falsch konfigurierter Microsoft Internet Information Services (IIS). Nach der Erstinfiltration installieren die Angreifer Web-Shells als Hintertür. Über diese laden sie weitere Werkzeuge wie das Fernwartungsprogramm GotoHTTP herunter, um dauerhafte Kontrolle zu erlangen.
Das Kernstück ist das BadIIS-Modul. Es registriert sich tief im IIS und kann damit sämtlichen HTTP-Datenverkehr abfangen und manipulieren. Durch diese Integration arbeitet es besonders tarnkappenartig. Die Taktiken zeigen deutliche Überschneidungen mit der früheren Operation WEBJACK.
Gezielte Varianten für Thailand und Vietnam
Neu ist die regionale Spezialisierung. Die Gruppe UAT-8099 hat maßgeschneiderte BadIIS-Versionen entwickelt.
Eine Variante namens „BadIIS IISHijack“ zielt spezifisch auf Opfer in Vietnam ab. Der Landescode ist direkt im Quelltext hinterlegt. Eine zweite, anspruchsvollere Version mit dem Namen „asdSearchEngine“ konzentriert sich auf Thailand. Sie analysiert den „Accept-Language“-Header im Datenverkehr, um thailändischsprachige Nutzer zu identifizieren. Wird einer erkannt, spritzt die Malware schädlichen JavaScript-Code für Weiterleitungen ein.
Diese Regionalisierung macht die Betrugsschemata effektiver und unauffälliger. Die Angreifer haben auch ihre Methoden zur dauerhaften Infiltration angepasst, nachdem frühere Techniken von Sicherheitsfirmen erkannt wurden.
Das Geschäftsmodell: SEO-Poisoning
Das Ziel ist finanzieller Gewinn durch SEO-Betrug (Search Engine Optimization Poisoning). Statt mühsam die Reputation einer Webseite aufzubauen, kapern die Angreifer etablierte Domains mit gutem Ruf.
BadIIS unterscheidet klug zwischen Suchmaschinen-Crawlern und echten Besuchern. Ein Googlebot erhält dynamisch generierte Seiten voller Spam-Keywords. Die Suchmaschine indexiert die legitime Seite daraufhin für irrelevante oder schädliche Begriffe.
Klickt ein echter Nutzer auf dieses manipulierte Suchergebnis, greift BadIIS ein. Der Besucher wird umgehend auf eine kriminelle Seite umgeleitet – oft zu illegalem Glücksspiel oder Adult-Inhalten. Die Verwendung von Pinyin-Variablennamen wie {biaoti} für „Titel“ verweist erneut auf einen chinesischsprachigen Urheber.
Globale Bedrohung mit wachsenden Fähigkeiten
UAT-8099 ist seit Anfang 2025 aktiv und Teil eines Trends finanziell motivierter Cyberkriminalität. Frühere Kampagnen betrafen bereits Indien, Kanada und Brasilien. Die Opferpalette reicht von Regierungsstellen über Universitäten bis zu Technologie- und Telekommunikationsunternehmen.
Besorgniserregend: Ende 2025 tauchte eine Linux-Variante von BadIIS auf. Dies beweist die plattformübergreifenden Fähigkeiten der Gruppe. Die Linux-Version zielt speziell auf Crawler von Google, Bing und Yahoo ab – ein Zeichen für das tiefe Verständnis der Angreifer für das SEO-Ökosystem.
So können sich Unternehmen schützen
Die kontinuierliche Evolution der Malware macht UAT-8099 zu einer hartnäckigen Bedrohung. Experten raten zu einem mehrschichtigen Schutz:
- Patchen ohne Verzug: Alle IIS-Server müssen zeitnah mit den neuesten Sicherheitsupdates versorgt werden, um die Einfallstore zu schließen.
- Konfiguration prüfen: Regelmäßige Sicherheitsaudits der Webserver-Konfiguration identifizieren Schwachstellen.
- Netzwerkverkehr überwachen: Auffällige Verbindungen zu bekannten Command-and-Control-Servern müssen erkannt werden.
- Benutzerkonten im Blick behalten: Die Erstellung unbefugter, versteckter Accounts ist ein Alarmzeichen.
- Endpoint-Schutz verstärken: Robuste Endpoint Detection and Response (EDR)-Lösungen können die Ausführung bösartiger PowerShell-Skripte und die Installation von Tools wie BadIIS blockieren.
