Des acteurs malveillants ont été observés ciblant les serveurs Internet Information Services (IIS) en Asie dans le cadre d’une campagne de manipulation d’optimisation des moteurs de recherche (SEO) conçue pour installer le malware BadIIS.

« Il est probable que la campagne soit motivée par des raisons financières, car la redirection des utilisateurs vers des sites de jeux d’argent illégaux montre que les attaquants déploient BadIIS à des fins lucratives », ont déclaré les chercheurs de Trend Micro Ted Lee et Lenart Bermejo dans une analyse publiée la semaine dernière.

Les cibles de la campagne incluent des serveurs IIS situés en Inde, en Thaïlande, au Vietnam, aux Philippines, à Singapour, à Taiwan, en Corée du Sud, au Japon et au Brésil. Ces serveurs sont associés à des gouvernements, des universités, des entreprises technologiques et des secteurs des télécommunications.

Les requêtes adressées aux serveurs compromis peuvent alors recevoir du contenu modifié par les attaquants, allant des redirections vers des sites de jeux d’argent à la connexion à des serveurs malveillants hébergeant des logiciels malveillants ou des pages de collecte d’informations d’identification.

On soupçonne que cette activité est l’œuvre d’un groupe de menaces parlant chinois connu sous le nom de DragonRank , qui a été documenté par Cisco Talos l’année dernière comme diffusant le malware BadIIS via des schémas de manipulation SEO.

La campagne DragonRank, à son tour, serait associée à une entité appelée Groupe 9 par ESET en 2021 qui exploite les serveurs IIS compromis pour les services proxy et la fraude SEO.

Trend Micro a toutefois noté que les artefacts de malware détectés partagent des similitudes avec une variante utilisée par le Groupe 11, proposant deux modes différents pour mener une fraude SEO et injecter du code JavaScript suspect dans les réponses aux demandes de visiteurs légitimes.

« Le BadIIS installé peut modifier les informations de l’en-tête de réponse HTTP demandées au serveur Web », ont déclaré les chercheurs. « Il vérifie les champs « User-Agent » et « Referer » dans l’en-tête HTTP reçu. »

« Si ces champs contiennent des sites de portail de recherche ou des mots-clés spécifiques, BadIIS redirige l’utilisateur vers une page associée à un site de jeu en ligne illégal au lieu d’une page Web légitime. »

Cette évolution intervient alors que Silent Push a lié le réseau de diffusion de contenu (CDN) Funnull basé en Chine à une pratique qu’il appelle le blanchiment d’infrastructure, dans laquelle les acteurs malveillants louent des adresses IP à des fournisseurs d’hébergement traditionnels tels qu’Amazon Web Services (AWS) et Microsoft Azure et les utilisent pour héberger des sites Web criminels.

Funnull aurait loué plus de 1 200 adresses IP à Amazon et près de 200 adresses IP à Microsoft, qui ont toutes été supprimées depuis. Cette infrastructure malveillante, baptisée Triad Nexus , alimente des stratagèmes de phishing, des escroqueries à la séduction et des opérations de blanchiment d’argent via de faux sites de jeux d’argent.

« Mais de nouvelles adresses IP sont continuellement acquises toutes les quelques semaines », a déclaré la société . « FUNNULL utilise probablement des comptes frauduleux ou volés pour acquérir ces adresses IP afin de les mapper à leurs CNAME. »