IIS

Source: Elastic Security Labs — Dans une analyse publiée en 2026, Elastic décrit une intrusion observée en novembre 2025 et relie cette activité au groupe REF4033 (associé à UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installé comme module natif IIS. • Portée et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS à travers le monde. Elle sert d’abord du HTML bourré de mots-clés aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un écosystème de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est géociblée pour monétiser du trafic via des domaines gouvernementaux, éducatifs et corporatifs compromis à forte réputation. 🎯 ...

Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif. ...

Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO. • Victimologie et chronologie 🔎 Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025. Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation). Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour. Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »). • Chaîne d’intrusion et persistance ...