Peneliti keamanan siber dari Cisco Talos mengungkap sebuah kampanye serangan baru yang berlangsung antara akhir 2025 hingga awal 2026. Aktor ancaman yang dikenal sebagai UAT-8099—yang memiliki kaitan erat dengan kepentingan Tiongkok—terdeteksi secara agresif menargetkan server Internet Information Services (IIS) yang rentan di wilayah Asia.

Meskipun jejak serangan ditemukan di India, Pakistan, dan Jepang, kampanye terbaru ini menunjukkan konsentrasi serangan yang spesifik dan intensif terhadap infrastruktur digital di Thailand dan Vietnam. Tujuan utama mereka bukan perusakan atau ransomware, melainkan SEO Fraud (penipuan optimasi mesin pencari) yang mengubah server korban menjadi inang parasit untuk mempromosikan situs-situs ilegal.

Baca Juga: Operasi "RedKitten": Aktor Negara Iran Gunakan Kodingan AI dan Telegram untuk Buru Aktivis HAM

UAT-8099 telah berevolusi secara signifikan sejak pertama kali didokumentasikan pada Oktober 2025. Strategi operasional mereka kini lebih sulit dideteksi karena penggunaan alat-alat sah (legitimate tools) dan teknik penghindaran deteksi yang canggih:

1. Penyusupan Awal: Memanfaatkan celah keamanan pada fitur unggah file (file upload) server IIS atau kerentanan yang belum ditambal.
2. Akun Hantu: Untuk menjaga akses (persistence), mereka membuat akun pengguna tersembunyi. Ketika produk keamanan mulai memblokir akun bernama admin$, UAT-8099 beradaptasi dengan membuat akun baru bernama mysql$ atau nama lain yang terlihat seperti layanan database sah.
3. Arsenal "Dual-Use": Mereka menggunakan alat administrasi yang sah untuk tujuan jahat, membuat antivirus sering kali mengabaikannya.
   • GotoHTTP: Alat kontrol jarak jauh (remote control) yang dijalankan via skrip Visual Basic.
   • SoftEther VPN & EasyTier: Untuk membuat terowongan jaringan (tunneling) dan mengontrol server dari jauh.
   • OpenArk64: Alat anti-rootkit open-source yang justru digunakan peretas untuk mematikan proses produk keamanan (antivirus) di server korban.
   • Sharp4RemoveLog: Untuk menghapus jejak log aktivitas Windows.

Inti dari serangan ini adalah penyebaran malware BadIIS. Cisco Talos menemukan dua varian baru yang dikustomisasi berdasarkan target geografis:

• Varian IISHijack (Vietnam): Dirancang khusus untuk memanipulasi lalu lintas server di Vietnam.
• Varian asdSearchEngine (Thailand): Menargetkan pengguna dengan preferensi bahasa Thailand. Malware ini memindai header permintaan masuk. Jika pengunjung adalah crawler mesin pencari (Google/Bing), mereka dialihkan ke situs penipuan SEO (teknik Cloaking). Jika pengunjung adalah pengguna asli Thailand, browser mereka disuntikkan kode JavaScript berbahaya.

Tujuannya adalah meningkatkan peringkat situs judi atau penipuan milik pelaku di mesin pencari dengan membonceng reputasi domain korban yang sah.

Kampanye UAT-8099 adalah contoh klasik dari serangan Black Hat SEO yang sering diremehkan oleh perusahaan. Banyak organisasi berpikir, "Selama data tidak dicuri atau dienkripsi, server aman." Padahal, pembajakan untuk SEO poisoning merusak reputasi domain secara permanen. Jika server bisnis Anda mempromosikan situs judi ilegal kepada Google Bot, domain perusahaan Anda akan di-blacklist oleh mesin pencari, mematikan visibilitas bisnis digital Anda.