Ataque SEO DragonRank
Se ha observado que los actores de amenazas atacan los servidores de Internet Information Services (IIS) en Asia como parte de una campaña de manipulación de la optimización de motores de búsqueda (SEO). Los atacantes utilizan este esquema para implementar BadIIS , una amenaza diseñada para alterar el tráfico web y redirigir a los usuarios a destinos ilícitos.
Tabla de contenido
Redireccionamientos a sitios de juego ilegales con motivos económicos
La campaña parece tener fines lucrativos, ya que los servidores afectados encaminan a los usuarios desprevenidos hacia sitios web de apuestas ilegales. Los servidores IIS afectados están vinculados a varias instituciones, incluidas agencias gubernamentales, universidades, empresas de tecnología y proveedores de telecomunicaciones. Las regiones afectadas incluyen India, Tailandia, Vietnam, Filipinas, Singapur, Taiwán, Corea del Sur, Japón e incluso Brasil.
Tráfico manipulado y redirecciones amenazantes
Una vez que un servidor se ve comprometido, puede ofrecer contenido modificado a los visitantes entrantes. Los atacantes utilizan este control para implementar redirecciones a sitios de apuestas o para conectar a las víctimas con una infraestructura fraudulenta que aloja software inseguro o páginas de recolección de credenciales. Esta técnica permite a los cibercriminales explotar el tráfico web legítimo para obtener ganancias económicas o realizar más ciberataques.
La conexión DragonRank
Los investigadores atribuyen esta actividad a un grupo de amenazas de habla china conocido como DragonRank. Anteriormente documentado como un grupo que aprovecha estrategias de manipulación de SEO, DragonRank ha sido vinculado a la implementación del malware BadIIS. La evidencia sugiere que este grupo evolucionó a partir de un actor de amenazas anterior, conocido en los círculos de ciberseguridad como Group 9, que ha estado explotando servidores IIS para servicios proxy y fraude de SEO desde 2021.
Tácticas superpuestas con el Grupo 11
Curiosamente, investigaciones recientes revelan que los artefactos de malware detectados tienen similitudes con una variante asociada a otra entidad, el Grupo 11. Esta versión de BadIIS incluye funcionalidades duales: un modo se centra en el fraude SEO, mientras que el otro inyecta código JavaScript sospechoso en las respuestas web para manipular el tráfico de visitantes.
Cómo BadIIS redirecciona a las víctimas
BadIIS puede interceptar y modificar los encabezados de respuesta HTTP de los servidores IIS afectados. En concreto, examina los campos "User-Agent" y "Referer" dentro de las solicitudes HTTP entrantes. Si estos campos contienen sitios de portales de búsqueda o palabras clave específicas, el malware redirige a los usuarios a un sitio web de apuestas no autorizado en lugar de a la página legítima esperada. Esta redirección dirigida permite a los atacantes explotar el tráfico de búsqueda orgánica para su propio beneficio.
