Buscaban la web oficial y acabaron en manos de estafadores. ¿Cómo funciona?

El equipo Unit 42 de Palo Alto Networks detectó una amplia campaña de envenenamiento de buscadores llamada Operation Rewrite: actores maliciosos de habla china implantaron en servidores web conjuntos de componentes maliciosos de la familia BadIIS y utilizaron sitios comprometidos como proxies inversos para alterar contenido y redirigir el tráfico hacia recursos fraudulentos.

La actividad condujo a la implantación tanto de módulos nativos de IIS como de variantes ligeras en forma de scripts, y la infraestructura mostró solapamientos con el clúster Group 9 observado anteriormente y similitudes con el servicio DragonRank. Los módulos BadIIS se integran directamente en la cadena de procesamiento de solicitudes del servidor web con privilegios de plataforma, lo que les permite interceptar solicitudes entrantes, alterar HTML para los rastreadores de búsqueda y reenviar respuestas maliciosas a los usuarios finales actuando como proxy.

En la primera fase, los atacantes entregaban a los rastreadores de los buscadores páginas 'optimizadas para consultas', obtenidas de servidores de comando, para lograr que los motores de búsqueda indexaran el dominio comprometido con las palabras clave deseadas. En la segunda fase, a los visitantes reales procedentes de buscadores el servidor les devolvía un redireccionamiento o actuaba como proxy de una página de carga fraudulenta — el usuario era llevado a un destino distinto del esperado.

El análisis del código mostró una clara orientación regional hacia el sur y sureste de Asia: la configuración contiene una lista de palabras clave y nombres de motores de búsqueda, y en la lista de User-Agent/Referer aparecen indicadores relacionados con Vietnam. Dentro de la muestra DLL se encontró una función de inicialización RegisterModule que crea un objeto llamado chongxiede — pinyin de la palabra china que literalmente significa 'reescribir'. Esta marca lingüística ayudó a rastrear muestras e infraestructura adicionales.

Además de los módulos nativos, se detectaron tres variantes de implementación: un controlador de páginas ASP.NET, un módulo administrado de .NET y un script PHP genérico. La variante ASP.NET utiliza Page_Load para comprobar el Referer y actuar como proxy del contenido; el módulo administrado intercepta peticiones 404 y puede inyectar enlaces directamente en páginas en vivo.

Mientras tanto, el controlador frontal en PHP combina la generación de mapas de sitio falsos para Googlebot con la sustitución dinámica de encabezados y contenido; además, para peticiones móviles verifica la ruta de la URL y, si es necesario, actúa como proxy del contenido desde el servidor de comando.

La infraestructura de la campaña incluye numerosas direcciones C2 y dominios de las familias 008php[.]com, 300bt[.]com y yyphw[.]com, así como direcciones IP en redes asiáticas. Ejemplos de C2 observadas: hxxp://404.008php[.]com/zz/u.php, hxxp://103.6.235[.]26/xvn.html, hxxp://404.300bt[.]com/zz/u.php y hxxps://fb88s[.]icu/uu/tt.js. Las coincidencias en la estructura de los URI y los subdominios repetidos indican un préstamo tecnológico del kit de herramientas de Group 9; rasgos aislados recuerdan la descripción de DragonRank, aunque no se encontró una coincidencia directa de infraestructura con DragonRank.

Durante la investigación, los atacantes que obtuvieron acceso inicial desplegaron web shells en numerosos servidores, crearon tareas programadas remotas para movimiento lateral, añadieron cuentas locales y archivaron los códigos fuente de aplicaciones web en directorios públicos para su posterior extracción. Tras ello, se subieron archivos DLL a las carpetas web, registrados como módulos de IIS; estas muestras fueron identificadas como BadIIS.

Palo Alto Networks incluye una lista de hashes e indicadores de compromiso en su informe y recomienda usar herramientas de filtrado de red, protección DNS y soluciones EDR para detectar y bloquear dominios y descargas relacionados con la campaña. La táctica descrita muestra que los atacantes prefieren explotar la reputación de recursos legítimos, convirtiendo plataformas de confianza en herramientas de redireccionamiento masivo de tráfico y fraude.