DragonRank explota servidores IIS con malware BadIIS para fraude SEO y redirecciones a sitios de apuestas
En el mundo del SEO, siempre estamos atentos a las mejores prácticas para mejorar nuestro posicionamiento en Google, pero ¿qué pasa cuando los actores maliciosos utilizan tácticas fraudulentas para manipular los resultados de búsqueda? Recientemente, se ha detectado una campaña de explotación de servidores Internet Information Services (IIS) en Asia, en la que el grupo DragonRank está implementando el malware BadIIS para redirigir usuarios a sitios de apuestas ilegales y manipular rankings de búsqueda.
El fraude SEO detrás de DragonRank
Investigadores de Trend Micro han identificado que esta campaña tiene una motivación económica clara: al infectar servidores IIS, los atacantes modifican el tráfico orgánico y lo redirigen a sitios de apuestas clandestinos. Esto no solo afecta la reputación de las páginas comprometidas, sino que también genera grandes pérdidas económicas para las empresas afectadas.
Los servidores IIS comprometidos se encuentran en India, Tailandia, Vietnam, Filipinas, Singapur, Taiwán, Corea del Sur, Japón y Brasil, afectando a sectores gubernamentales, universidades, empresas tecnológicas y telecomunicaciones.
Una vez comprometidos, estos servidores pueden modificar el contenido de las solicitudes entrantes, redirigiendo a los usuarios a sitios maliciosos, páginas de phishing o incluso servidores que albergan más malware.
DragonRank y la conexión con el SEO fraudulento
El grupo DragonRank, documentado por Cisco Talos el año pasado, ha sido vinculado con ataques similares en el pasado, utilizando BadIIS en campañas de manipulación de SEO. Además, en 2021, ESET identificó una operación similar llevada a cabo por Group 9, que comprometía servidores IIS para servicios proxy y fraudes SEO.
Trend Micro también ha identificado conexiones entre esta actividad y Group 11, otro grupo cibercriminal que utiliza variantes del malware BadIIS con dos modos distintos:
- Manipulación de SEO: Modificando los resultados de búsqueda a su favor.
- Inyección de código JavaScript sospechoso: Alterando las respuestas HTTP legítimas y redirigiendo a los usuarios a sitios fraudulentos.
Cómo opera BadIIS en los servidores IIS
BadIIS es capaz de modificar el encabezado de respuesta HTTP para evaluar los campos «User-Agent» y «Referer» en las solicitudes entrantes.
- Si detecta que el tráfico proviene de motores de búsqueda o contiene ciertas palabras clave, redirige a los usuarios a sitios de apuestas ilegales en lugar del contenido original.
Esta manipulación permite que el grupo detrás de BadIIS genere ingresos a partir del tráfico redirigido, afectando no solo a los administradores web, sino también a la experiencia de usuario y la credibilidad de los sitios afectados.
Infraestructura fraudulenta y su conexión con Funnull
En paralelo a estas actividades, investigadores de Silent Push han vinculado a Funnull, una red de distribución de contenido (CDN) china, con una práctica conocida como «infrastructure laundering». En este proceso, los atacantes alquilan direcciones IP de proveedores como Amazon Web Services (AWS) y Microsoft Azure para alojar sitios web criminales.
- Se ha confirmado que Funnull alquiló más de 1,200 IPs de Amazon y casi 200 de Microsoft, que han sido dadas de baja, pero que continuamente se están renovando con nuevas IPs fraudulentas.
- Esta infraestructura maliciosa, denominada Triad Nexus, es utilizada en estafas de phishing, fraudes románticos y lavado de dinero mediante sitios de apuestas falsas.
Conclusión personal
Este caso refuerza la importancia de una estrategia SEO que no solo busque optimización, sino que también contemple la seguridad web como pilar fundamental. Los ataques de DragonRank y BadIIS demuestran cómo una infraestructura comprometida puede no solo perjudicar la reputación online, sino también manipular resultados de búsqueda para beneficio de actores maliciosos.
Si tienes un sitio web basado en IIS, es crucial revisar logs de tráfico, asegurar configuraciones de acceso y reforzar la seguridad del servidor para evitar ser víctima de este tipo de manipulaciones. ¡Proteger tu SEO es proteger tu negocio! 🚀
Este artículo es una traducción al español del original en inglés “DragonRank Exploits IIS Servers with BadIIS Malware for SEO Fraud and Gambling Redirects” escrito por Ravie Lakshmanan, publicado en The Hacker News. Puedes acceder al artículo original aquí: https://thehackernews.com/2025/02/dragonrank-exploits-iis-servers-with.html.
