Source: Elastic Security Labs — Dans une analyse publiée en 2026, Elastic décrit une intrusion observée en novembre 2025 et relie cette activité au groupe REF4033 (associé à UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installé comme module natif IIS.
• Portée et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS à travers le monde. Elle sert d’abord du HTML bourré de mots-clés aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un écosystème de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est géociblée pour monétiser du trafic via des domaines gouvernementaux, éducatifs et corporatifs compromis à forte réputation. 🎯
• Chaîne d’attaque et déploiement: Après accès initial (webshell sous w3wp.exe) et création d’un compte admin, les attaquants installent un service Windows « WalletServiceInfo » chargeant une ServiceDLL non signée (CbsMsgApi.dll) depuis C:\ProgramData... avec appels système directs. Ils utilisent l’outil D‑Shield Firewall. La DLL met en place les modules IIS malveillants WsmRes32/WsmRes64 (copiés vers C:\Windows\Microsoft.NET\Framework) et modifie la configuration (DefaultAppPool.config) pour les injecter dans la request pipeline d’IIS. Les URLs de configuration sont chiffrées (SM4 ECB, clé « 1111111122222222 »; plus anciennement AES‑128 ECB).
• Fonctionnement BADIIS et techniques SEO: Le module s’enregistre comme premier et dernier handler et applique des stratégies selon Referer (bing, google, naver, daum) et User‑Agent (bingbot, Googlebot, Yeti, Daum). Trois modes: 1) remplacement complet avec loader/auto‑redirect/Analytics, 2) remplacement 404 par contenu SEO distant, 3) injection inline de backlinks pour le link‑farming. Des options ciblent mobiles (iPhone/Android/…); un filtrage par sous-réseaux (faux google.css) ajuste le contenu. Des tags Google Analytics (G-2FK43E86ZM, G-R0KHSLRZ7N) ou Baidu Tongji (B59ff1638e92ab1127b7bc76c7922245) tracent les redirections.
• Ampleur, géographie et victimes: ~82 % des serveurs compromis se situent en APAC (Chine 46,1 %, Vietnam 35,8 %), puis Inde (3,9 %), Brésil (3,8 %), Corée (3,4 %). Environ 30 % des victimes sont sur AWS, Azure, Alibaba Cloud, Tencent Cloud; 70 % chez des opérateurs régionaux. Les secteurs touchés incluent gouvernements, éducation, santé, e‑commerce, médias, services financiers (≈8 % d’infra publiques dans au moins 5 pays). Les redirections reflètent souvent la géolocalisation du serveur compromis (ex. Chine → jeux d’argent locaux; Corée → faux Upbit; exception relevée au Bangladesh → sites de jeux vietnamiens). 💸
• IOCs et TTPs (extraits):
- Indicateurs (hash/infra):
- SHA‑256: 055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294 (CbsMsgApi.exe)
- SHA‑256: 2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a; c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2 (CbsMsgApi.dll)
- SHA‑256: 7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca (D_Safe_Manage.exe)
- SHA‑256: 1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72; 1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016 (WsmRes64)
- SHA‑256: c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f (WsmRes32)
- Domaines: gotz003[.]com (config primaire), jbtz003[.]com (config legacy), gotz001[.]com et jbtz001[.]com (SEO/backlinks)
- Tags analytiques: Google (G-2FK43E86ZM, G-R0KHSLRZ7N), Baidu (B59ff1638e92ab1127b7bc76c7922245)
- TTPs observées:
- Accès initial via webshell sous w3wp.exe et création d’un compte admin; passage à l’implantation du module IIS en <17 minutes
- Persistance/Exécution: service Windows « WalletServiceInfo » (ServiceDLL non signée) chargé sous svchost.exe, appels directs syscalls
- Défense évasion: VMProtect sur de nombreux échantillons; modification du security descriptor du service; D‑Shield Firewall pour durcir l’accès
- Dépôt et masquage de fichiers dans System32\drivers; copie des modules dans le répertoire .NET Framework; modification de DefaultAppPool.config (injection dans
/ ) et chargement sous w3wp.exe - C2/config: récupération de fichiers .txt de configuration par HTTP, déchiffrement SM4 (ECB, clé fixe); logique géociblée et filtrage User‑Agent/Referer, gestion 404, ciblage mobile, link‑farming
Type d’article: analyse de menace technique présentant l’infrastructure, la chaîne d’attaque et les indicateurs associés à la campagne BADIIS.
🧠 TTPs et IOCs détectés
TTP
[‘Accès initial via webshell sous w3wp.exe’, ‘Création d’un compte admin’, ‘Implantation du module IIS en <17 minutes’, ‘Persistance/Exécution: service Windows « WalletServiceInfo » (ServiceDLL non signée) chargé sous svchost.exe’, ‘Appels directs syscalls’, ‘Défense évasion: VMProtect sur de nombreux échantillons’, ‘Modification du security descriptor du service’, ‘D‑Shield Firewall pour durcir l’accès’, ‘Dépôt et masquage de fichiers dans System32\drivers’, ‘Copie des modules dans le répertoire .NET Framework’, ‘Modification de DefaultAppPool.config (injection dans
IOC
{‘hash’: [‘055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294’, ‘2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a’, ‘c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2’, ‘7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca’, ‘1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72’, ‘1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016’, ‘c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f’], ‘domain’: [‘gotz003[.]com’, ‘jbtz003[.]com’, ‘gotz001[.]com’, ‘jbtz001[.]com’], ‘analytic_tags’: [‘G-2FK43E86ZM’, ‘G-R0KHSLRZ7N’, ‘B59ff1638e92ab1127b7bc76c7922245’]}
🔗 Source originale : https://www.elastic.co/security-labs/badiis-to-the-bone-new-insights-to-global-seo-poisoning-campaign