dragon rank

DragonRank ataca servidores IIS con malware BadIIS

DragonRank explota servidores IIS con malware BadIIS para fraude SEO y redirecciones a juegos de azar

Un grupo de ciberdelincuentes conocido como DragonRank está atacando servidores de Internet Information Services (IIS) en varios países de Asia y América Latina. Su objetivo principal es instalar el malware BadIIS, que permite manipular resultados de búsqueda (SEO) y redirigir a los usuarios a sitios de apuestas ilegales.

Dragon rank

Según investigadores de Trend Micro, esta campaña está motivada por fines económicos. Los servidores afectados pertenecen a instituciones gubernamentales, universidades, empresas de tecnología y telecomunicaciones en países como India, Tailandia, Vietnam, Filipinas, Singapur, Taiwán, Corea del Sur, Japón y Brasil.

¿Cómo funciona el ataque?

El malware BadIIS altera las respuestas de los servidores IIS comprometidos. Cuando un usuario intenta acceder a un sitio web legítimo, el servidor puede redirigirlo a páginas de juegos de azar ilegales o incluso a sitios maliciosos que roban credenciales.

El sistema verifica los campos «User-Agent» y «Referer» en las solicitudes HTTP. Si detecta palabras clave específicas o portales de búsqueda, redirige al usuario a sitios fraudulentos en lugar de mostrar el contenido legítimo.

Relación con grupos de ciberdelincuencia

DragonRank está vinculado a otros grupos de amenazas, como el Grupo 9 y el Grupo 11. Estos también han utilizado técnicas similares para fraude SEO y distribución de malware. Además, se ha descubierto que utilizan infraestructura de proveedores de alojamiento como Amazon Web Services (AWS) y Microsoft Azure para alojar sitios web maliciosos.

Infraestructura maliciosa y lavado de IPs

La red de distribución de contenido Funnull ha estado alquilando direcciones IP de proveedores como AWS y Azure para alojar sitios fraudulentos. Esta red tiene su sede en China. Muchas de estas IPs han sido retiradas. No obstante, los atacantes continúan adquiriendo nuevas direcciones cada pocas semanas, probablemente utilizando cuentas robadas o fraudulentas.

Consejos de protección

  • Actualiza tus servidores. Asegúrate de que los servidores IIS estén actualizados con los últimos parches de seguridad.
  • Monitorea el tráfico. Revisa regularmente las solicitudes HTTP inusuales o redirecciones sospechosas.
  • Usa herramientas de seguridad. Implementa soluciones de ciberseguridad que detecten y bloqueen actividades maliciosas.

¿Por qué no considerar una alternativa de software libre?

Si estás utilizando servidores IIS, podrías evaluar la migración a soluciones de software libre como Linux con Apache o Nginx. Estas plataformas son conocidas por su seguridad, flexibilidad y comunidad de soporte activa. Esas características las convierten en una excelente opción para reducir riesgos y evitar ataques como los de DragonRank. Además, al ser de código abierto, permiten una mayor personalización y control sobre tu infraestructura.