Cybersecurity sotto attacco globale: il pericolo UAT-8099 e le difese

La cybersecurity mondiale è sotto attacco. Il gruppo criminale cinese UAT-8099 ha lanciato una campagna globale di attacchi informatici che sta minacciando infrastrutture critiche in cinque paesi. Questa sofisticata operazione combina vulnerabilità server e malware mobile per compromettere sistemi in India, Thailandia, Vietnam, Canada e Brasile. Scopriamo insieme come funziona questa minaccia e come proteggersi.

La strategia di attacco di UAT-8099: vulnerabilità critiche nel mirino

Gli attaccanti di UAT-8099 hanno sviluppato una strategia a due fronti particolarmente insidiosa. Il loro obiettivo primario sono i server Microsoft Internet Information Services (IIS) vulnerabili, sfruttando principalmente la critica CVE-2025-31324.

Questa vulnerabilità permette agli hacker di:

• Eseguire codice da remoto sui server compromessi
• Installare web shell per il controllo permanente
• Escalare i privilegi degli account guest
• Stabilire connessioni RDP controllate da remoto

Il gruppo non si limita ai server IIS. Parallelamente, ha preso di mira anche i server Microsoft SharePoint, sfruttando la vulnerabilità CVE-2025-53770. Questa falla consente l’esecuzione remota di codice e mantiene la compromissione anche dopo l’applicazione delle patch di sicurezza.

Distribuzione di malware mobile: la doppia minaccia

Ciò che rende questa campagna particolarmente pericolosa è la sua capacità di colpire anche i dispositivi mobili. UAT-8099 utilizza i server compromessi per distribuire malware attraverso:

Pagine contraffatte per Android

Gli attaccanti creano siti web falsi che offrono download di APK Android contraffatti. Questi file sembrano applicazioni legittime ma contengono payload malevoli che compromettono i dispositivi degli utenti.

Siti fraudolenti per iOS

Anche gli utenti Apple non sono al sicuro. Il gruppo crea siti falsi per applicazioni iOS che ingannano gli utenti spingendoli a scaricare software compromesso.

Obiettivi e tecniche di persistenza avanzate

I settori colpiti da questa campagna includono alcune delle infrastrutture più critiche:

• Università e istituzioni educative
• Aziende tecnologiche
• Operatori di telecomunicazioni

Una volta compromessi i sistemi, UAT-8099 implementa sofisticate tecniche di persistenza:

Strumenti di mantenimento dell’accesso

• SoftEther VPN per connessioni remote sicure
• EasyTier per la gestione della rete compromessa
• Proxy inversi (FRP) per mantenere comunicazioni nascoste

Attività fraudolente

I server compromessi vengono utilizzati per reindirizzamenti SEO fraudolenti verso:

• Siti pubblicitari non autorizzati
• Piattaforme di gioco d’azzardo illegale
• Altri servizi illeciti

Contromisure essenziali per la protezione

La difesa contro UAT-8099 richiede un approccio multilivello e proattivo. Ecco le misure di sicurezza più efficaci:

Patch management immediato

La priorità assoluta è applicare immediatamente tutte le patch di sicurezza Microsoft più recenti per IIS e SharePoint. Ritardare questi aggiornamenti significa lasciare aperte le porte agli attaccanti.

Controlli sui caricamenti

Implementate restrizioni rigorose sui tipi di file consentiti per i caricamenti sui server web. Questa misura previene efficacemente l’upload di web shell malevole.

Monitoraggio avanzato

Stabilite sistemi di monitoraggio che rilevano:

• Attività e traffico sospetti
• Manipolazioni SEO non autorizzate
• Attivazione di nuovi account
• Escalation di privilegi anomale

Audit di sicurezza regolari

Effettuate audit di sicurezza periodici e analisi del traffico DNS per identificare redirect sospetti e comunicazioni con server di comando e controllo.

Protezione dei dispositivi mobili

La protezione non si ferma ai server. Per i dispositivi mobili, adottate queste precauzioni:

• Evitate download da fonti non ufficiali di APK Android o app iOS
• Utilizzate esclusivamente store ufficiali come Google Play e App Store
• Monitorate le comunicazioni di rete per identificare malware distribuito tramite server compromessi
• Implementate soluzioni di sicurezza mobile nelle organizzazioni

L’importanza di un approccio proattivo

La campagna di UAT-8099 dimostra l’evoluzione delle minacce informatiche moderne. Gli attaccanti non si limitano più a un singolo vettore di attacco, ma orchestrano operazioni complesse che colpiscono simultaneamente infrastrutture server e dispositivi mobili.

Per contrastare efficacemente queste minacce, le organizzazioni devono adottare una strategia di difesa multilivello che combini:

• Aggiornamenti tempestivi delle patch di sicurezza
• Monitoraggio continuo delle attività sospette
• Formazione del personale sui rischi informatici
• Implementazione di controlli di sicurezza avanzati

La cybersecurity non è più un’opzione, ma una necessità vitale per proteggere le infrastrutture critiche e i dati sensibili. Con gruppi come UAT-8099 che operano su scala globale, solo un approccio proattivo e completo può garantire una protezione efficace contro queste minacce sofisticate.