{"id":1573873,"date":"2025-02-10T20:03:15","date_gmt":"2025-02-10T20:03:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/dragonrank-explota-servidores-iis-con-malware-badiis-para-fraude-de-seo-y-redireccionamientos-de-juegos-de-azar\/"},"modified":"2025-02-10T20:03:20","modified_gmt":"2025-02-10T20:03:20","slug":"dragonrank-explota-servidores-iis-con-malware-badiis-para-fraude-de-seo-y-redireccionamientos-de-juegos-de-azar","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dragonrank-explota-servidores-iis-con-malware-badiis-para-fraude-de-seo-y-redireccionamientos-de-juegos-de-azar\/","title":{"rendered":"Dragonrank explota servidores IIS con malware Badiis para fraude de SEO y redireccionamientos de juegos de azar"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ seguridad web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Dragonrank-explota-servidores-IIS-con-malware-Badiis-para-fraude-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado que los actores de amenaza dirigen a los servidores de Servicios de Informaci\u00f3n de Internet (IIS) en Asia como parte de una campa\u00f1a de manipulaci\u00f3n de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) dise\u00f1ada para instalar malware Badiis.<\/p>\n<p>&#8220;Es probable que la campa\u00f1a est\u00e9 motivada financieramente ya que redirigir a los usuarios a sitios web ilegales de juegos de azar muestra que los atacantes despliegan a Badiis con fines de lucro&#8221;, Trend Micro Investigadores Ted Lee y Lenart Bermejo <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/b\/chinese-speaking-group-manipulates-seo-with-badiis.html\" target=\"_blank\">dicho<\/a> En un an\u00e1lisis publicado la semana pasada,<\/p>\n<p>Los objetivos de la campa\u00f1a incluyen servidores IIS ubicados en India, Tailandia, Vietnam, Filipinas, Singapur, Taiw\u00e1n, Corea del Sur, Jap\u00f3n y Brasil. Estos servidores est\u00e1n asociados con el gobierno, las universidades, las empresas de tecnolog\u00eda y los sectores de telecomunicaciones.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las solicitudes a los servidores comprometidos pueden recibir contenido alterado de los atacantes, que van desde redirecciones hasta sitios de juego hasta conectarse a servidores deshonestos que alojan p\u00e1ginas de malware o credenciales de recolecci\u00f3n.<\/p>\n<p>Se sospecha que la actividad es el trabajo de un grupo de amenazas de habla china conocido como Dragonrank, que fue documentado por Cisco Talos el a\u00f1o pasado como entrega del malware Badiis a trav\u00e9s de esquemas de manipulaci\u00f3n de SEO.<\/p>\n<p>Se dice que la campa\u00f1a Dragonrank, a su vez, se asocia con una entidad denominada Grupo 9 por ESET en 2021 que aprovecha los servidores IIS comprometidos para los servicios de poder y el fraude de SEO.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739217794_444_Dragonrank-explota-servidores-IIS-con-malware-Badiis-para-fraude-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739217794_444_Dragonrank-explota-servidores-IIS-con-malware-Badiis-para-fraude-de.png\" alt=\"Fraude de SEO y redireccionamientos de juegos\" border=\"0\" data-original-height=\"525\" data-original-width=\"1037\" title=\"Fraude de SEO y redireccionamientos de juegos\"\/><\/a><\/div>\n<p>Sin embargo, Trend Micro se\u00f1al\u00f3 que los artefactos de malware detectados comparten similitudes con una variante utilizada por el Grupo 11, con dos modos diferentes para realizar fraude de SEO e inyectar el c\u00f3digo de JavaScript sospechoso en respuestas para solicitudes de visitantes leg\u00edtimos.<\/p>\n<p>&#8220;El BADIIS instalado puede alterar la informaci\u00f3n del encabezado de respuesta HTTP solicitada desde el servidor web&#8221;, dijeron los investigadores. &#8220;Verifica los campos &#8216;agente de usuario&#8217; y &#8216;referente&#8217; en el encabezado HTTP recibido&#8221;.<\/p>\n<p>&#8220;Si estos campos contienen sitios o palabras clave de portal de b\u00fasqueda espec\u00edficos, Badiis redirige al usuario a una p\u00e1gina asociada con un sitio de juego ilegal en l\u00ednea en lugar de una p\u00e1gina web leg\u00edtima&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738404898_801_Las-autoridades-estadounidenses-y-holandesas-desmantelan-39-dominios-vinculados-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El desarrollo se produce cuando Silent Push vincul\u00f3 la Red de entrega de contenido FunNull de China (CDN) con una pr\u00e1ctica que llama lavado de infraestructura, en las que los actores de amenaza alquilan direcciones IP de proveedores de alojamiento convencionales como Amazon Web Services (AWS) y Microsoft Azure y usan ellos para alojar sitios web criminales.<\/p>\n<p>Se dice que Funnull alquil\u00f3 m\u00e1s de 1,200 IP de Amazon y casi 200 IP de Microsoft, todos los cuales han sido retirados desde entonces. Se ha descubierto que la infraestructura maliciosa, llamada Triad Nexus, alimenta esquemas de phishing minorista, estafas de cebo rom\u00e1ntico y operaciones de lavado de dinero a trav\u00e9s de sitios de juego falsos.<\/p>\n<p>&#8220;Pero los nuevos IP se adquieren continuamente cada pocas semanas&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/infrastructure-laundering\/\" target=\"_blank\">dicho<\/a>. &#8220;Funnull es probable que use cuentas fraudulentas o robadas para adquirir estas IP para mapear a sus CNAMES&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/dragonrank-exploits-iis-servers-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de febrero de 2025\ue804Ravie LakshmananMalware \/ seguridad web Se ha observado que los actores de amenaza dirigen<\/p>\n","protected":false},"author":1,"featured_media":1573874,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,27952,278739,4664,99,252952,6614,5880,84982,77,273784,4669,273783,4654,273782,4659,4653,4655,18,152250,246983,4665,246984,22572,7982,246982,239484],"class_list":["post-1573873","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-azar","tag-badiis","tag-como-hackear","tag-con","tag-dragonrank","tag-explota","tag-fraude","tag-iis","tag-juegos","tag-las-noticias-del-hacker","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-redireccionamientos","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-seo","tag-servidores","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1573873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1573873"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1573873\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1573874"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1573873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1573873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1573873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}