Grupo vinculado a China UAT-8099 lanza ataque sofisticado contra servidores IIS en todo el mundo

China-Linked UAT-8099 Explota Vulnerabilidades en Servidores Microsoft IIS para Ciberespionaje

En un reciente informe publicado por The Hacker News, se ha revelado una avanzada campaña cibernética protagonizada por un actor vinculado a China, identificado como UAT-8099. Esta amenaza se especializa en atacar servidores Microsoft Internet Information Services (IIS) mediante la explotación de vulnerabilidades que permiten comprometer sistemas y extraer información estratégica. El análisis técnico proporciona una visión detallada sobre las tácticas, técnicas y procedimientos (TTP) utilizados, mostrando el nivel de sofisticación del grupo y la importancia de fortalecer las defensas en entornos web.

Operaciones dirigidas a servidores IIS

UAT-8099 focaliza su operativa en servidores IIS, un componente ampliamente utilizado para alojar aplicaciones web. Los atacantes emplean una serie de exploits dirigidos específicamente a vulnerabilidades conocidas en IIS, facilitando la ejecución remota de código (RCE) y la escalada de privilegios en el servidor afectado. Estas acciones permiten el establecimiento de persistencia y el movimiento lateral dentro de las infraestructuras objetivo con un bajo nivel de detección.

El modus operandi del grupo comienza con la identificación automática de servidores vulnerables mediante escaneos masivos en Internet, seguidos de fases de explotación cuidadosas para no alertar a los sistemas de monitoreo. Posteriormente, instalan puertas traseras web y herramientas de control remoto que permiten la exfiltración de datos y la manipulación del entorno comprometido.

Técnicas y herramientas empleadas

Entre las técnicas notables utilizadas por UAT-8099 destaca la explotación de errores en el manejo de solicitudes HTTP especialmente diseñadas, que desencadenan fallos en el IIS permitiendo la ejecución de comandos arbitrarios. Para mantener la evasión, el grupo utiliza cifrado personalizado para el tráfico de comunicación con sus servidores de comando y control (C2), dificultando la inspección y el análisis de las muestras de malware.

Además, el conjunto de herramientas incluye módulos para el monitoreo de la actividad del sistema, recolección de credenciales, y desplazamiento lateral utilizando credenciales robadas o vulnerabilidades adicionales en la red interna. Su enfoque persistente y el uso de técnicas avanzadas convierten a UAT-8099 en un adversario peligroso para organizaciones con infraestructuras dependientes de Microsoft IIS.

Impacto y recomendaciones de mitigación

El uso malicioso de vulnerabilidades en componentes tan críticos como IIS tiene un impacto directo en la seguridad de la información, confidencialidad, integridad y disponibilidad de los datos corporativos. Los expertos advierten que la intrusión de UAT-8099 puede conducir a pérdidas económicas significativas, daños reputacionales y compromisos prolongados en entornos afectados.

Para mitigar estas amenazas, se recomienda a las organizaciones:

Realizar un inventario actualizado de todos los servidores IIS en operación.
Mantener los sistemas y aplicaciones siempre actualizados con los últimos parches de seguridad.
Implementar controles de acceso estrictos y autenticación multifactor en los puntos críticos.
Monitorizar de manera continua el tráfico y patrones inusuales dentro de las redes.
Utilizar soluciones de detección basadas en comportamientos anómalos para identificar intentos de explotación.
Capacitar al personal en medidas de ciberhigiene relacionadas con aplicaciones web.

La creciente sofisticación del grupo UAT-8099 y su vinculación con operaciones estatales chinas subrayan la urgencia de adoptar estrategias robustas de ciberdefensa, especialmente en infraestructuras vitales que soportan servicios web. La comunidad de seguridad debe mantenerse vigilante y compartir inteligencia para anticipar y neutralizar estas campañas maliciosas.

Fuente: The Hacker News — https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html

← Descubren extensiones maliciosas en Chrome que roban datos de millones de usuarios Insólito ciberataque: cómo las insignias digitales se convirtieron en herramienta de chantaje en la era del byte →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil