Pesquisadores da Trend Micro identificaram um grupo de hackers explorando servidores Internet Information Services (IIS) na Ásia para disseminar o malware BadIIS em uma campanha de manipulação de SEO. O objetivo parece ser financeiro, já que os usuários são redirecionados para sites ilegais de jogos de azar. Os alvos incluem servidores de governos, universidades, empresas de tecnologia e telecomunicações em países como Índia, Tailândia, Vietnã, Filipinas, Singapura, Taiwan, Coreia do Sul, Japão e Brasil. O ataque permite que os criminosos modifiquem o conteúdo exibido aos usuários, direcionando-os a páginas maliciosas ou conectando-os a servidores que hospedam malwares e páginas de roubo de credenciais.

O grupo responsável, DragonRank, foi previamente documentado pela Cisco Talos em campanhas similares, associadas ao Grupo 9, identificado pela ESET em 2021. Segundo a Trend Micro, há também indícios de que o BadIIS compartilha características com malwares usados pelo Grupo 11, permitindo fraudes de SEO e injeção de JavaScript malicioso em respostas do servidor. O BadIIS analisa os cabeçalhos HTTP, verificando campos como “User-Agent” e “Referer”. Caso encontre palavras-chave de buscadores específicos, redireciona o usuário para sites ilegais em vez da página original.

Além disso, outra ameaça foi identificada: o Funnull, um CDN chinês vinculado ao Triad Nexus, um esquema que utiliza infraestrutura ilegal para crimes cibernéticos. A Funnull alugou mais de 1.200 IPs da Amazon e quase 200 da Microsoft para hospedar esquemas de phishing, fraudes românticas e lavagem de dinheiro via sites falsos de apostas. Embora essas infraestruturas tenham sido derrubadas, novos IPs continuam sendo adquiridos regularmente com o uso de contas roubadas ou falsas.