Introduction
En novembre 2025, Elastic Security Labs a observé une intrusion affectant une organisation multinationale basée en Asie du Sud-Est. Au cours de l'analyse de cette activité, notre équipe a observé diverses techniques et outils post-compromission utilisés pour déployer le logiciel malveillant BADIIS sur un serveur web Windows. Ces observations sont conformes aux rapports précédents de Cisco Talos et Trend Micro de l'année dernière.
Ce groupe de menace a fait plus de victimes et coordonne une opération d'empoisonnement SEO à grande échelle à partir de pays du monde entier. Notre visibilité sur la campagne indique une infrastructure complexe et géociblée conçue pour monétiser les serveurs compromis en redirigeant les utilisateurs vers un vaste réseau de sites web illicites tels que des plateformes de jeux d'argent en ligne et des systèmes de crypto-monnaie.
Principaux points abordés dans cet article
- Elastic Security Labs observe des campagnes d'empoisonnement SEO à grande échelle ciblant les serveurs IIS avec le logiciel malveillant BADIIS au niveau mondial, affectant plus de 1 800 serveurs Windows.
- Les serveurs compromis sont monétisés par le biais d'un réseau d'infrastructures utilisées pour cibler les utilisateurs avec des publicités pour des jeux d'argent et d'autres sites web illicites.
- L'infrastructure des victimes comprend des gouvernements, diverses organisations d'entreprises et des établissements d'enseignement d'Australie, du Bangladesh, du Brésil, de Chine, d'Inde, du Japon, de Corée, de Lituanie, du Népal et du Viêt Nam.
- Cette activité correspond au groupe de menace UAT-8099, identifié par Cisco Talos en octobre dernier, et est cohérente avec les rapports antérieurs de Trend Micro.
Aperçu de la campagne
REF4033 est un groupe de cybercriminels de langue chinoise responsable d'une campagne massive et coordonnée d'empoisonnement SEO qui a compromis plus de 1 800 serveurs web Windows dans le monde entier à l'aide d'un module IIS malveillant appelé BADIIS.
La campagne se déroule en deux phases :
- Tout d'abord, il fournit aux robots d'indexation des moteurs de recherche un code HTML truffé de mots-clés pour empoisonner les résultats de la recherche.
- Ensuite, il redirige les victimes vers une économie du vice tentaculaire "" de plateformes de jeux illicites, de pornographie et de sites d'hameçonnage de crypto-monnaies sophistiqués, tels qu'un clone frauduleux de l'échange Upbit.
En déployant le malware BADIIS, un module IIS malveillant qui s'intègre directement dans le pipeline de traitement des requêtes d'un serveur web, le groupe détourne les serveurs web des domaines légitimes du gouvernement, de l'éducation et de l'entreprise. Cette infrastructure de haute réputation est utilisée pour manipuler le classement des moteurs de recherche, ce qui permet aux attaquants d'intercepter le trafic web et de faciliter la fraude financière à grande échelle.
Activité d'intrusion
En novembre 2025, Elastic Security Labs a observé une activité post-compromission d'un serveur Windows IIS provenant d'un vecteur d'attaque inconnu. Cet acteur de la menace a agi rapidement, passant de l'accès initial au déploiement du module IIS en moins de 17 minutes. L'énumération initiale a été effectuée par l'intermédiaire d'un webshell fonctionnant sous le processus de travailleur IIS (w3wp.exe). L'attaquant a procédé à une découverte initiale et a ensuite créé un nouveau compte d'utilisateur.
Peu après la création du compte et son ajout au groupe Administrateurs, Elastic Defend a généré plusieurs alertes liées à un service Windows nouvellement créé, WalletServiceInfo. Le service a chargé un ServiceDLL non signé (C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.dll) et a ensuite exécuté des appels de système directs à partir du module.
Ensuite, nous avons vu l'acteur de la menace durcir son accès en utilisant un programme appelé D-Shield Firewall. Ce logiciel offre des fonctions de sécurité supplémentaires pour les serveurs IIS, y compris des protections préventives et des possibilités d'ajouter des restrictions de réseau. Pour poursuivre l'enquête, nous avons utilisé l'imphash observé (1e4b23eee1b96b0cc705da1e7fb9e2f3) du chargeur (C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.exe) pour obtenir un échantillon de chargeur à partir de VirusTotal pour notre analyse.
Pour recueillir un échantillon de la DLL malveillante utilisée par ce chargeur, nous avons effectué une recherche dans VirusTotal sur le nom (CbsMsgApi.dll). Nous avons trouvé 7 échantillons soumis en utilisant le même nom de fichier. Le groupe à l'origine de ce projet semble utiliser une base de code similaire depuis septembre 2024. La plupart de ces échantillons utilisent VMProtect, un cadre commercial d'obscurcissement du code, pour entraver l'analyse statique et dynamique. Heureusement, nous avons utilisé un échantillon plus ancien et non protégé pour mieux comprendre cette chaîne d'attaque.
Analyse de code - CbsMsgApi.exe
Le groupe utilise un processus d'attaque qui nécessite plusieurs fichiers mis en scène par l'attaquant pour déployer le module IIS malveillant. La chaîne d'exécution commence par l'exécutable PE, CbsMsgApi.exe. Ce fichier contient des chaînes de caractères en chinois simplifié, y compris la chaîne PDB (C:\Users\Administrator\Desktop\替换配置文件\w3wpservice-svchost\x64\Release\CbsMsgApi.pdb).
Après le lancement, ce programme crée un service Windows, WalletServiceinfo,, qui configure un ServiceDLL (CbsMsgApi.dll) qui s'exécute sous svchost.exe, de manière similaire à cette technique de persistance.
Ce service nouvellement créé se concentre sur la furtivité et la lutte contre le piratage en modifiant le descripteur de sécurité du service à l'aide de la ligne de commande suivante :
sc sdset "WalletServiceInfo" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Analyse de code - CbsMsgApi.dll
Le composant principal de cette séquence d'attaque est le ServiceDLL (CbsMsgApi.dll). La DLL malveillante met en scène les modules natifs de BADIIS IIS et modifie la configuration d'IIS pour les charger dans le pipeline de requêtes du DefaultAppPool.
Au cours de cette attaque, l'auteur de la menace met en scène trois fichiers se faisant passer pour le dossier System32\drivers:
C:\Windows\System32\drivers\WUDFPfprot.sysC:\Windows\System32\drivers\WppRecorderpo.sysC:\Windows\System32\drivers\WppRecorderrt.sys
Deux de ces fichiers (WppRecorderrt.sys, WppRecorderpo.sys) représentent les modules malveillants 32 bits / 64 bits de BADIIS. L'autre fichier (WUDFPfprot.sys) représente les éléments de configuration qui seront injectés dans la configuration existante de l'IIS. Vous trouverez ci-dessous un exemple de configuration utilisée lors de notre analyse. Il convient de noter le nom du module WsmRes64 (vous trouverez de plus amples informations sur cette DLL dans la section Analyse des modules IIS (WsmRes32.dll / WsmRes64.dll) ci-dessous) :
<globalModules>
<add name="WsmRes64" image="C:\Windows\Microsoft.NET\Framework\WsmRes64.dll" preCondition="bitness64" />
</globalModules>
<modules>
<add name="WsmRes64" preCondition="bitness64" />
</modules>Le logiciel malveillant utilise la fonction CopyFileA pour déplacer le contenu des fichiers masqués dans le répertoire .NET (C:\Windows\Microsoft.NET\Framework).
Ensuite, le logiciel malveillant analyse le fichier DefaultAppPool.config, en examinant chaque nœud pour mettre à jour les nœuds <globalModules> et <modules>. Le module injecte le contenu de la configuration à partir du fichier précédemment masqué (WUDFPfprot.sys), en mettant à jour la configuration IIS par une série d'opérations d'ajout.
Vous trouverez ci-dessous un exemple de l'entrée du module global nouvellement ajoutée qui fait référence à la DLL BADIIS.
Une fois l'exécution réussie, le module BADIIS est installé sur le serveur IIS et devient visible en tant que module chargé dans le processus de travail w3wp.exe.
Analyse des modules IIS (WsmRes32.dll / WsmRes64.dll)
La section suivante décrit la fonctionnalité des modules BADIIS. Ces modules facilitent l'injection conditionnelle ou la redirection de contenu SEO malveillant sur la base de critères tels que la valeur de l'en-tête User-Agent ou Referer. Cette technique garantit que le contenu malveillant reste caché lors d'une utilisation normale, ce qui permet aux modules de rester indétectés le plus longtemps possible.
Lors de l'initialisation, le module télécharge le contenu des URL définies dans sa configuration. Ces URL sont stockés dans un format crypté et décryptés à l'aide de SM4 algorithm (un algorithme de chiffrement par blocs de norme nationale chinoise) en mode ECB avec la clé "1111111122222222”". Dans les échantillons plus anciens, l'algorithme AES-128 ECB était utilisé à la place.
Chaque URL de la configuration pointe vers un fichier statique .txt qui contient une ressource de deuxième niveau. La liste ci-dessous détaille ces fichiers sources et leurs rôles spécifiques :
| Exemple d'URL de configuration | Nom du fichier | Description du contenu |
|---|---|---|
hxxp://kr.gotz003[.]com/krfml/krfmlip.txt | *fmlip.txt | Contient une URL pointant vers un faux fichier CSS, google.css, qui répertorie les sous-réseaux utilisés pour filtrer les requêtes. |
hxxp://kr.gotz003[.]com/krfml/krfmltz.txt | *fmltz.txt | Contient un lien vers l'URL cible utilisée pour les redirections d'utilisateurs. |
hxxp://kr.gotz003[.]com/krfml/krfmllj.txt | *fmllj.txt | Contient un lien vers les backlinks SEO malveillants destinés à être injectés. |
hxxp://kr.gotz003[.]com/krfml/krfmldz.txt | *fmldz.txt | Contient le lien vers le générateur de contenu SEO. |
Ces URL pointent vers des fichiers spécifiques à une région, préfixés par le code pays correspondant. Si les exemples ci-dessus concernent la Corée (hxxp://kr.domain.com), il existe des fichiers équivalents pour d'autres régions, comme le Viêt Nam (VN), où les noms de fichiers sont préfixés par "vn" plutôt que par "kr"(hxxp://vn.domain.com).
Le module BADIIS s'inscrit dans le pipeline de traitement des demandes, se positionnant à la fois comme le premier et le dernier gestionnaire. Pour chaque demande, le module vérifie des propriétés spécifiques et sélectionne une stratégie d'injection ou de redirection en fonction des résultats. Nous avons trois types d'injection :
| Source | Méthode d'injection | Description |
|---|---|---|
*fmltz.txt | Remplacement d'une page entière | Chargeur HTML avec barre de progression + redirection automatique + suivi Google Analytics |
*fmldz.txt | Remplacement d'une page entière | Lien direct vers le contenu SEO, construit avec index.php?domain=<host>&uri=<original_link> |
*fmllj.txt | Injection en ligne | SEO backlinks injectés après la balise <body> ou <html> dans une réponse existante |
Pour faire la distinction entre les robots et le trafic humain, le module vérifie la liste suivante de référents et d'agents utilisateurs.
Référents: bing, google, naver, daum
User agents: bingbot, Googlebot, Yeti, Daum
La stratégie d'injection par défaut cible les robots des moteurs de recherche qui accèdent à une page légitime du site compromis.
Dans ce scénario, les backlinks SEO sont récupérés à partir du lien secondaire et injectés dans la page pour être explorés par les robots des moteurs de recherche. Les backlinks téléchargés qui sont injectés dans la page infectée ciblent principalement d'autres pages locales au sein du domaine, tandis que le reste pointe vers des pages situées sur d'autres domaines infectés. Il s'agit d'un aspect essentiel de la stratégie de link-farming, qui consiste à créer de vastes réseaux de sites qui renvoient les uns aux autres et manipulent les classements dans les moteurs de recherche.
Les pages locales liées par les backlinks n'existent pas sur le domaine infecté, de sorte que la visite de ces pages entraîne une erreur 404 . Cependant, lorsque la demande est interceptée, le logiciel malveillant vérifie deux conditions : si le code de statut n'est pas 200 ou 3xx et si l'agent utilisateur du navigateur correspond à un robot d'exploration. Si c'est le cas, il télécharge le contenu d'une page SEO hébergée sur son infrastructure (via un lien dans le fichier *fmldz.txt de son URL de configuration) et renvoie un code de réponse 200 au robot. Cette URL cible est construite à l'aide des paramètres "domain" et "uri" qui contiennent le nom du domaine infecté et la ressource à laquelle le robot d'exploration a tenté d'accéder à l'origine.
Enfin, si un utilisateur demande une page qui n'existe pas et arrive avec une valeur d'en-tête Referer répertoriée par le logiciel malveillant, la page est remplacée par un troisième type de contenu : une page d'atterrissage avec une barre de chargement. Cette page utilise JavaScript pour rediriger l'utilisateur vers le lien contenu dans le fichier *fmltz.txt, qui est obtenu via son lien de configuration.
Si cette option est activée, la demande n'est exécutée que si l'agent utilisateur correspond à un téléphone portable, ce qui garantit que le serveur cible exclusivement les utilisateurs mobiles.
Vous trouverez ci-dessous la liste des User-Agents mobiles :
Appareils : iPhone, iPad, iPod, iOS, Android, uc (UC Browser), BlackBerry, HUAWEI
Si l'option est activée et que l'adresse IP du serveur infecté correspond à la liste des sous-réseaux du fichier google.css téléchargé depuis le fichier *fmlip.txt, le serveur affiche le contenu SEO standard au lieu de la page d'atterrissage/de redirection.
La page de destination comprend un code JavaScript contenant une balise d'analyse - Google Analytics ou Baidu Tongji, en fonction de la région ciblée - pour surveiller les redirections. Bien que la raison exacte de l'utilisation du filtrage IP du serveur pour restreindre le trafic ne soit pas claire, nous supposons qu'elle est liée à ces analyses et mise en œuvre à des fins de référencement.
Nous avons identifié les balises Google suivantes pour l'ensemble de la campagne :
G-2FK43E86ZMG-R0KHSLRZ7N
Ainsi qu'une étiquette Baidu Tongji :
B59ff1638e92ab1127b7bc76c7922245
Analyse de la campagne
En nous basant sur la similitude des URL (<country_code>fml__.txt, <country_code>fml/index.php), nous avons découvert une campagne plus ancienne datant de la mi-2023 qui utilisait les domaines suivants comme serveur de configuration.
tz123[.]apptz789[.]app
tz123[.]app a été révélée dans une liste de COI résumant la campagne BADIIS de Trend Micro, publiée à 2024 l'adresse. D'après les dates de première soumission sur VT pour les échantillons nommés ul_cache.dll et communiquant avec hxxp://tz789[.]app/brfmljs[.]txt, certains sont également soumis sous le nom de fichier WsmRes64.dll. Cette convention de dénomination est cohérente avec le composant du chargeur BADIIS analysé dans la section précédente. L'échantillon le plus ancien que nous ayons découvert sur VT a été soumis pour la première fois le 2023-12-12.
Pour REF4033, l'infrastructure est répartie entre deux serveurs de configuration primaires.
- Campagnes récentes (
gotz003[.]com) : Ce site sert actuellement de centre de configuration principal. Une analyse plus approfondie a permis d'identifier 5 sous-domaines actifs classés par codes de pays :kr.gotz003[.]com(Corée du Sud)vn.gotz003[.]com(Vietnam)cn.gotz003[.]com(Chine)cnse.gotz003[.]com(Chine)bd.gotz003[.]com(Bangladesh)
- Infrastructure ancienne (
jbtz003[.]com) : Utilisée dans les anciennes campagnes, bien que plusieurs sous-domaines restent opérationnels : br.jbtz003[.]com(Brésil)vn.jbtz003[.]com(Vietnam)vnbtc.jbtz003[.]com(Vietnam)in.jbtz003[.]com(Inde)cn.jbtz003[.]com(Chine)jp.jbtz003[.]com(Japon)pk.jbtz003[.]com(Pakistan)
Au fond, la récente campagne monétise les serveurs compromis en redirigeant les utilisateurs vers un vaste réseau de sites web illicites. La campagne est fortement investie dans l'économie du vice, ciblant les publics asiatiques, comme les casinos en ligne non réglementés, la pornographie en streaming et les publicités explicites pour les services de prostitution.
Elle constitue également une menace financière directe. Par exemple, une plateforme frauduleuse de mise en jeu de crypto-monnaies hébergée à l'adresse uupbit[.]top, se faisant passer pour Upbit, la plus grande bourse de crypto-monnaies de Corée du Sud.
La logique de ciblage de la campagne reflète largement la géographie de l'infrastructure compromise, établissant une corrélation entre l'emplacement du serveur et la cible de redirection de l'utilisateur. Par exemple, les serveurs compromis en Chine dirigent le trafic vers des sites de jeux d'argent locaux, tandis que ceux de Corée du Sud redirigent vers le site frauduleux d'hameçonnage Upbit. L'exception à ce schéma concerne une infrastructure compromise au Bangladesh, pour laquelle les acteurs ont configuré des redirections HTTP vers des sites de jeux d'argent vietnamiens non locaux.
Nous avons observé plusieurs pages de chargement de redirection différentes à travers les clusters. Vous trouverez ci-dessous un exemple de modèle de redirection de l'utilisateur pour un exemple de ciblage de l'infrastructure de la victime VN. Ce modèle utilise une balise Google et est très similaire à l'un des modèles décrits dans la recherche UAT-8099 de Cisco Talos.
Un modèle plus cohérent observé dans les groupes de victimes est illustré dans l'extrait ci-dessous, en particulier la logique de la barre de progression. Étant donné que l'échantillon cible l'infrastructure des victimes du CN, Baidu Tongji est utilisé pour suivre la redirection des victimes.
Nous avons découvert plusieurs groupes (certains avec des chevauchements) de serveurs compromis à partir d'URL contenant des backlinks dans la liste suivante :
http://kr.gotz001[.]com/lunlian/index.phphttp://se.gotz001[.]com/lunlian/index.phphttps://cn404.gotz001[.]com/lunlian/index.phphttps://cnse.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/indexgov.phphttps://vn404.gotz001[.]com/lunlian/index.phphttps://vn.gotz001[.]com/lunlian/index.phphttp://bd.gotz001[.]com/lunlian/index.phphttp://vn.jbtz001[.]com/lunlian/index.phphttps://vnse.jbtz001[.]com/lunlian/index.phphttps://vnbtc.jbtz001[.]com/lunlian/index.phphttps://in.jbtz001[.]com/lunlian/index.phphttps://br.jbtz001[.]com/lunlian/index.phphttps://cn.jbtz001[.]com/lunlian/index.phphttps://jp.jbtz001[.]com/lunlian/index.phphttps://pk.jbtz001[.]com/lunlian/index.php
Dans le cadre de REF4033, plus de 1800 serveurs ont été touchés au niveau mondial, et la campagne se concentre clairement sur la région APAC, la Chine et le Vietnam représentant environ 82% de tous les serveurs compromis observés (46,1% et 35,8%, respectivement). Des concentrations secondaires sont observées en Inde (3,9%), au Brésil (3,8%) et en Corée du Sud (3,4%), bien qu'elles ne représentent qu'une minorité de l'empreinte globale de la campagne. Notamment, environ 30% des serveurs compromis se trouvent sur les principales plateformes en nuage, notamment Amazon Web Services, Microsoft Azure, Alibaba Cloud et Tencent Cloud. Les 70% victimes restantes sont réparties entre les fournisseurs de télécommunications régionaux.
Le profil des victimes couvre divers secteurs, notamment des agences gouvernementales, des établissements d'enseignement, des prestataires de soins de santé, des plateformes de commerce électronique, des médias et des services financiers, ce qui indique une exploitation opportuniste à grande échelle plutôt qu'une exploitation ciblée. Les systèmes gouvernementaux et d'administration publique représentent environ 8% des victimes identifiées dans au moins 5 pays (.gov.cn, .gov.br, .gov.bd, .gov.vn, .gov.in, .leg.br).
REF4033 par MITRE ATT&CK
Elastic utilise le cadre MITRE ATT& CK pour documenter les tactiques, techniques et procédures communes que les menaces utilisent contre les réseaux d'entreprise.
Tactiques
Les tactiques représentent le pourquoi d'une technique ou d'une sous-technique. Il s'agit de l'objectif tactique de l'adversaire : la raison pour laquelle il effectue une action.
Techniques
Les techniques représentent la manière dont un adversaire atteint un objectif tactique en effectuant une action.
- Exploitation d'applications accessibles au public
- Composant logiciel du serveur : Composants IIS
- Créer un compte : Compte local
- Créer ou modifier un processus système : Service Windows
- Flux d'exécution du détournement : faiblesse des autorisations du registre des services
- Fichiers ou informations obscurcis : Emballage du logiciel
- Mascarade : Faire correspondre un nom ou un lieu légitime
- Recherche d'informations sur le système
Remédier à REF4033
La prévention
- Descendant suspect du travailleur Microsoft IIS
- Potential Privilege Escalation via Token Impersonation (Escalade potentielle des privilèges via l'imitation des tokens)
- Escalade de privilèges via SeImpersonatePrivilege
- Appel de système direct à partir d'un module non signé
- Création suspecte de DLL de service Windows
- Modification suspecte du registre Svchost
- Security Account Manager (SAM) Registry Access
YARA
Elastic Security a créé des règles YARA pour identifier cette activité.
Observations
Les observables suivants ont été examinés dans le cadre de cette recherche.
| Observable | Type | Nom | Référence |
|---|---|---|---|
055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294 | SHA-256 | CbsMsgApi.exe | Installateur de services |
2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a | SHA-256 | CbsMsgApi.dll | ServiceDLL |
c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2 | SHA-256 | CbsMsgApi.dll | ServiceDLL |
7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca | SHA-256 | D_Safe_Manage.exe | Pare-feu D-Shield |
1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72 | SHA-256 | WsmRes64.idx | Module BADIIS 64 bits |
1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016 | SHA-256 | WsmRes64.idx2.sc | Module BADIIS 64 bits |
c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f | SHA-256 | WsmRes32.idx | Module BADIIS 32 bits |
gotz003[.]com | nom de domaine | Serveur de configuration BADIIS (primaire) | |
jbtz003[.]com | nom de domaine | Serveur de configuration BADIIS (ancien) | |
gotz001[.]com | nom de domaine | Serveur de contenu et de backlinks BADIIS SEO (primaire) | |
jbtz001[.]com | nom de domaine | Serveur de contenu et de backlinks BADIIS SEO (primaire) |
Références
Les éléments suivants ont été référencés tout au long de la recherche ci-dessus :