Brasil está na mira de hackers chineses que manipulam o Google

Grupo invade servidores Microsoft em vários países para fraudar buscas online e roubar dados sensíveis de empresas e usuários

Cecilia Ferraz

schedule06/10/2025, às 19:45

updateAtualizado em 07/10/2025, às 09:33

O Brasil está entre os principais alvos de um grupo de cibercrime de língua chinesa que manipula resultados de busca e rouba dados sensíveis. Chamado de UAT-8099, o grupo invade servidores Microsoft IIS, tecnologia usada para hospedar sites e sistemas corporativos — e os transforma em peças de um gigantesco esquema de fraude em SEO (otimização para mecanismos de busca).

A estratégia combina truques digitais para enganar algoritmos de pesquisa e técnicas avançadas de invasão que permitem coletar informações sigilosas de empresas e usuários. O Brasil, ao lado de países como Índia, Vietnã, Canadá e Tailândia, concentra parte significativa dos servidores comprometidos.

smart_display

Nossos vídeos em destaque

Entre os alvos estão universidades, empresas de tecnologia e operadoras de telecomunicações. Esses ataques, que começaram a ser observados em abril de 2025. O objetivo é lucrar com tráfego falso e, ao mesmo tempo, explorar dados valiosos das vítimas.

Como funciona o golpe

O funcionamento é engenhoso. O grupo procura servidores vulneráveis — geralmente mal configurados ou com brechas de segurança — e os transforma em pontos de apoio para o esquema. Depois de invadir um servidor, os hackers instalam um web shell, um tipo de porta de acesso remoto que permite controlar o sistema de forma discreta. A partir daí, eles exploram falhas para ganhar acesso administrativo, o que significa que passam a ter controle total do servidor.

Hackers se escondem para continuar ativos

Para se manter invisível, o UAT-8099 usa uma combinação de ferramentas poderosas. Entre elas, o Cobalt Strike, muito usado em testes de segurança, mas também explorado por hackers para infiltrações; e o BadIIS, um tipo de malware projetado especialmente para manipular servidores IIS.

Eles também utilizam VPNs (redes privadas virtuais), RDPs (protocolos de acesso remoto) e proxys reversos, que servem para esconder a origem do tráfego e despistar sistemas de defesa. Em resumo, o tráfego parece vir de um usuário legítimo, quando na verdade é controlado pelos criminosos.

O que é o malware BadIIS

O BadIIS é a peça central do esquema. Ele funciona em três modos principais:

Como se proteger

Para empresas, a principal medida é reforçar a segurança de servidores IIS, garantindo atualizações constantes e monitoramento de anomalias. Também é importante usar ferramentas de detecção de comportamento (e não apenas antivírus tradicionais), capazes de identificar alterações sutis na forma como um servidor responde a requisições.

Além disso, profissionais de SEO e marketing digital devem ficar atentos a picos de tráfego inexplicáveis ou backlinks suspeitos, sinais de que o site pode ter sido envolvido em uma fraude sem saber.

Para saber mais sobre golpes como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e em nosso canal do YouTube para mais notícias de segurança e tecnologia.

Perguntas Frequentes

O que é o grupo UAT-8099 e por que ele representa uma ameaça?

O UAT-8099 é um grupo de cibercrime de língua chinesa que invade servidores Microsoft IIS para manipular resultados de busca e roubar dados sensíveis. Ele representa uma ameaça porque combina técnicas avançadas de invasão com fraudes em SEO, afetando empresas, universidades e operadoras de telecomunicações em diversos países, incluindo o Brasil.

Como funciona o golpe aplicado pelo UAT-8099?

O grupo identifica servidores vulneráveis, geralmente mal configurados, e os invade. Após a invasão, instala um web shell para controle remoto e cria backdoors para manter o acesso. Com o domínio do servidor, manipula algoritmos de busca e coleta dados sigilosos, tudo de forma discreta e difícil de detectar.

O que é o malware BadIIS e qual seu papel no ataque?

O BadIIS é um malware desenvolvido para manipular servidores IIS e é central no esquema do UAT-8099. Ele opera em três modos: Proxy (conecta o servidor a sistemas de controle), Injector (altera resultados do Google com códigos maliciosos) e SEO Fraud (cria redes de backlinks para inflar artificialmente a relevância de sites nos mecanismos de busca).

Por que o Brasil é um dos principais alvos desses ataques?

O Brasil está entre os países com maior número de servidores comprometidos, ao lado de Índia, Vietnã, Canadá e Tailândia. Isso pode estar relacionado à presença de servidores vulneráveis e à importância estratégica de empresas e instituições brasileiras para os cibercriminosos.

Como os hackers se mantêm invisíveis dentro dos servidores invadidos?

O grupo utiliza ferramentas como Cobalt Strike, VPNs, RDPs e proxys reversos para esconder sua presença. Essas tecnologias fazem com que o tráfego pareça legítimo, dificultando a detecção por sistemas de segurança tradicionais.

Quais são os sinais de que um servidor pode ter sido comprometido?

Entre os sinais estão picos de tráfego inexplicáveis e a presença de backlinks suspeitos. Esses indícios podem apontar que o servidor está sendo usado em esquemas de fraude em SEO, mesmo que o site continue funcionando normalmente.

O que empresas e profissionais podem fazer para se proteger?

Empresas devem manter os servidores IIS atualizados e monitorar anomalias com ferramentas de detecção comportamental. Profissionais de SEO e marketing digital devem ficar atentos a mudanças incomuns no tráfego e na origem de backlinks, que podem indicar envolvimento involuntário em fraudes.

Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall