Recentemente, è stato osservato un incremento di attacchi mirati verso i server Internet Information Services (IIS) in Asia. Questi attacchi fanno parte di una campagna di manipolazione SEO progettata per installare il malware BadIIS. La campagna sembra avere una motivazione finanziaria, in quanto gli attaccanti utilizzano BadIIS per reindirizzare gli utenti verso siti di gioco d'azzardo illegali, cercando di monetizzare attraverso tali reindirizzamenti. I ricercatori di Trend Micro, Ted Lee e Lenart Bermejo, hanno evidenziato questa attività in un'analisi pubblicata di recente.

Le vittime includono server IIS situati in diversi paesi asiatici come India, Thailandia, Vietnam, Filippine, Singapore, Taiwan, Corea del Sud e Giappone, oltre a Brasile. Questi server sono associati a enti governativi, università, aziende tecnologiche e settori delle telecomunicazioni.

Gli attacchi modificano il contenuto servito dai server compromessi, reindirizzando il traffico verso siti di gioco d'azzardo oppure a server malevoli che ospitano malware o pagine di phishing. Si sospetta che tali operazioni siano orchestrate da un gruppo di cybercriminali di lingua cinese noto come DragonRank, già documentato da Cisco Talos come responsabile della diffusione del malware BadIIS tramite schemi di manipolazione SEO.

La campagna DragonRank è collegata a un'entità denominata Group 9, identificata da ESET nel 2021, che sfrutta i server IIS compromessi per servizi proxy e frodi SEO. Trend Micro ha notato che gli artefatti malware rilevati condividono somiglianze con una variante utilizzata da Group 11, caratterizzata da due modalità operative: una per condurre frodi SEO e l'altra per iniettare codice JavaScript sospetto nelle risposte delle richieste degli utenti legittimi.

Il malware BadIIS può alterare le informazioni dell'intestazione della risposta HTTP richieste dal server web. In particolare, verifica i campi 'User-Agent' e 'Referer' nell'intestazione HTTP ricevuta. Se questi campi contengono specifici portali di ricerca o parole chiave, BadIIS reindirizza l'utente a una pagina associata a un sito di gioco d'azzardo online illegale invece di una pagina web legittima.

Nel frattempo, Silent Push ha collegato la rete di distribuzione di contenuti (CDN) Funnull, con sede in Cina, a una pratica denominata "riciclaggio infrastrutturale". In questo schema, i cybercriminali affittano indirizzi IP da fornitori di hosting mainstream come Amazon Web Services (AWS) e Microsoft Azure per ospitare siti web criminali. Funnull ha affittato oltre 1.200 IP da Amazon e quasi 200 da Microsoft. Tuttavia, tutti questi sono stati successivamente eliminati. L'infrastruttura malevola, chiamata Triad Nexus, è stata trovata a supportare schemi di phishing, truffe di baiting romantico e operazioni di riciclaggio di denaro tramite siti di gioco d'azzardo falsi.