网络安全研究人员正提请关注一场搜索引擎优化（SEO）投毒活动，该活动可能是由一个说中文的威胁行为者实施的，其使用一种名为BadIIS的恶意软件，攻击目标为东亚和东南亚地区，尤其侧重于越南。

这项被称为“改写行动”的活动正由帕洛阿尔托网络公司的Unit 42以CL-UNK-1037为代号进行追踪，其中“CL”代表集群，“UNK”指的是未知动机。经发现，该威胁行为者与ESET称为“9号组织”以及名为“龙榜”的实体在基础设施和架构上存在重叠。

“为了实施搜索引擎优化投毒，攻击者会操纵搜索引擎结果，诱骗人们访问非预期或不受欢迎的网站（例如赌博和色情网站）以获取经济利益，”安全研究员约夫·泽马赫说。“此次攻击使用了一个名为BadIIS的恶意原生互联网信息服务（IIS）模块。”

BadIIS旨在拦截和修改传入的HTTP网络流量，最终目的是利用被攻陷的合法服务器向网站访问者提供恶意内容。换句话说，其原理是通过向具有良好域名声誉的合法网站中注入关键词和短语，来操纵搜索引擎结果，从而将流量引导至他们选择的目的地。

IIS模块能够通过检查HTTP请求中的User-Agent头来标记来自搜索引擎爬虫的访问者，使其能够联系外部服务器获取恶意内容，从而篡改搜索引擎优化（SEO），并让搜索引擎将受害网站索引为命令与控制（C2）服务器响应中所含术语的相关结果。

一旦这些网站以这种方式被植入恶意内容，要完成整个骗局，只需诱骗那些在搜索引擎中搜索这些词汇并最终点击了虽合法却已遭入侵的网站的受害者，最终将他们重定向到诈骗网站即可。

在42号部门调查的至少一起事件中，据称攻击者利用其对搜索引擎爬虫的访问权限，转向攻击其他系统，创建新的本地用户账户，并植入网页木马，以建立持久的远程访问、窃取源代码以及上传BadIIS植入程序。

“该机制首先构建诱饵，然后启动陷阱，”42号部门表示。“诱饵是由攻击者通过向搜索引擎爬虫提供被篡改的内容来构建的。这使得受影响的网站在原本与其无关的额外词条上获得排名。然后，受影响的网络服务器会充当反向代理——即作为中间服务器从其他服务器获取内容，并将其伪装成自己的内容。”

威胁行为者在攻击中部署的其他一些工具包括三种不同变体的BadIIS模块——

• 一种轻量级的ASP.NET页面处理程序，它通过代理来自远程C2服务器的恶意内容，达到SEO投毒的相同目的。
• 一个托管的.NET IIS模块，它可以检查和修改通过应用程序的每个请求，以从另一个C2服务器注入垃圾链接和关键词，并且
• 一个集用户重定向和动态SEO投毒于一体的PHP脚本

“该威胁行为者定制了所有植入程序，目的是操纵搜索引擎结果并控制流量流向，”42号部门表示。“基于直接的语言证据，以及该行为者与9号集群之间的基础设施和架构关联，我们高度确信，有一个说中文的行为者在开展这项活动。”

几周前，ESET详细披露了一个此前未被记录的威胁集群，名为GhostRedirector。该集群通过一个代号为Gamshen的恶意IIS模块，已成功入侵至少65台Windows服务器，这些服务器主要位于巴西、泰国和越南，其目的是实施搜索引擎优化欺诈。