Brasil está na mira de hackers chineses que manipulam o Google

06 out Brasil está na mira de hackers chineses que manipulam o Google

Posted at 19:45h in Tech-Pt-br by

O Brasil está entre os principais alvos de um grupo de cibercrime de língua chinesa que manipula resultados de busca e rouba dados sensíveis. Chamado de UAT-8099, o grupo invade servidores Microsoft IIS, tecnologia usada para hospedar sites e sistemas corporativos — e os transforma em peças de um gigantesco esquema de fraude em SEO (otimização para mecanismos de busca).

A estratégia combina truques digitais para enganar algoritmos de pesquisa e técnicas avançadas de invasão que permitem coletar informações sigilosas de empresas e usuários. O Brasil, ao lado de países como Índia, Vietnã, Canadá e Tailândia, concentra parte significativa dos servidores comprometidos.

Entre os alvos estão universidades, empresas de tecnologia e operadoras de telecomunicações. Esses ataques, que começaram a ser observados em abril de 2025. O objetivo é lucrar com tráfego falso e, ao mesmo tempo, explorar dados valiosos das vítimas.

Como funciona o golpe

O funcionamento é engenhoso. O grupo procura servidores vulneráveis — geralmente mal configurados ou com brechas de segurança — e os transforma em pontos de apoio para o esquema. Depois de invadir um servidor, os hackers instalam um web shell, um tipo de porta de acesso remoto que permite controlar o sistema de forma discreta. A partir daí, eles exploram falhas para ganhar acesso administrativo, o que significa que passam a ter controle total do servidor.

Com o domínio garantido, os criminosos bloqueiam outros invasores e criam rotas de acesso permanentes, conhecidas como backdoors. Assim, mesmo que a empresa dona do servidor tente limpá-lo, o grupo pode voltar a invadir com facilidade.

Hackers se escondem para continuar ativos

Para se manter invisível, o UAT-8099 usa uma combinação de ferramentas poderosas. Entre elas, o Cobalt Strike, muito usado em testes de segurança, mas também explorado por hackers para infiltrações; e o BadIIS, um tipo de malware projetado especialmente para manipular servidores IIS.

Eles também utilizam VPNs (redes privadas virtuais), RDPs (protocolos de acesso remoto) e proxys reversos, que servem para esconder a origem do tráfego e despistar sistemas de defesa. Em resumo, o tráfego parece vir de um usuário legítimo, quando na verdade é controlado pelos criminosos.

O que é o malware BadIIS

O BadIIS é a peça central do esquema. Ele funciona em três modos principais:

Modo Proxy: atua como intermediário, conectando o servidor infectado a sistemas de comando e controle escondidos na internet;Modo Injector: intercepta buscas feitas no Google e injeta códigos maliciosos nos resultados, redirecionando o usuário para páginas falsas, de publicidade ou até de golpes;Modo SEO Fraud: cria uma rede de backlinks (links de um site apontando para outro) entre servidores invadidos, para inflar artificialmente a relevância de certos sites nos mecanismos de busca.

Essa técnica de backlinking faz com que os sites promovidos pelos hackers apareçam melhor posicionados no Google, o que aumenta o tráfego e o potencial de lucro com anúncios, golpes ou roubo de informações. O ataque é sofisticado porque não depende de enganar diretamente o usuário. Em vez disso, os criminosos exploram a infraestrutura da internet — os próprios servidores que hospedam sites legítimos — para alterar o ecossistema de busca. Em muitos casos, o dono do servidor nem percebe que foi comprometido. Tudo acontece nos bastidores: o site continua no ar, mas serve como peça de uma rede de manipulação global.

Como se proteger

Para empresas, a principal medida é reforçar a segurança de servidores IIS, garantindo atualizações constantes e monitoramento de anomalias. Também é importante usar ferramentas de detecção de comportamento (e não apenas antivírus tradicionais), capazes de identificar alterações sutis na forma como um servidor responde a requisições.

Além disso, profissionais de SEO e marketing digital devem ficar atentos a picos de tráfego inexplicáveis ou backlinks suspeitos, sinais de que o site pode ter sido envolvido em uma fraude sem saber.

Para saber mais sobre golpes como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e em nosso canal do YouTube para mais notícias de segurança e tecnologia.