{"id":159039,"date":"2025-09-22T06:50:51","date_gmt":"2025-09-22T13:50:51","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=159039"},"modified":"2025-09-26T07:29:12","modified_gmt":"2025-09-26T14:29:12","slug":"operation-rewrite-seo-poisoning-campaign","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/","title":{"rendered":"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala"},"content":{"rendered":"<h2><a id=\"post-159039-_heading=h.qicjxgmna1bs\"><\/a>Resumen ejecutivo<\/h2>\n<p>En marzo de 2025, descubrimos una campa\u00f1a de envenenamiento de la optimizaci\u00f3n de motores de b\u00fasqueda (SEO). A partir de la infraestructura y los artefactos ling\u00fc\u00edsticos descubiertos, determinamos con alta confianza que un actor de amenazas chino opera esta campa\u00f1a. La llamamos \u201cOperaci\u00f3n reescritura\u201d en referencia a la traducci\u00f3n de uno de los nombres de objeto en el c\u00f3digo del actor de amenazas.<\/p>\n<p>Identificamos este cl\u00faster de actividad como <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">CL-UNK-1037<\/a>. El an\u00e1lisis revel\u00f3 solapamientos de infraestructura y arquitectura con el cl\u00faster de amenazas \u201cGroup\u00a09\u201d, de seguimiento p\u00fablico, y la campa\u00f1a \u201cDragonRank\u201d.<\/p>\n<p>Para llevar a cabo el envenenamiento de SEO, los atacantes manipulan los resultados de los motores de b\u00fasqueda para enga\u00f1ar a la gente para que visite sitios web inesperados o no deseados (por ejemplo, sitios web de juegos de azar y pornograf\u00eda) con fines lucrativos. Este ataque utilizaba un m\u00f3dulo nativo malicioso de Internet Information Services (IIS) llamado BadIIS. Este m\u00f3dulo intercepta y altera el tr\u00e1fico web, utilizando servidores leg\u00edtimos comprometidos para servir contenido malicioso a los visitantes. El servidor web comprometido act\u00faa entonces como un proxy inverso, es decir, un servidor intermediario que obtiene contenido de otros servidores y lo presenta como propio.<\/p>\n<p>El an\u00e1lisis de la configuraci\u00f3n del malware revela un claro enfoque geogr\u00e1fico en Asia Oriental y Sudoriental. Esta orientaci\u00f3n se evidencia en el c\u00f3digo del m\u00f3dulo, que incluye una l\u00f3gica espec\u00edfica para los motores de b\u00fasqueda regionales.<\/p>\n<p>Los atacantes detr\u00e1s de esta campa\u00f1a emplean un conjunto de herramientas que va m\u00e1s all\u00e1 del m\u00f3dulo BadIIS. Encontramos variantes no documentadas, incluidos manejadores de p\u00e1ginas ASP.NET ligeros, m\u00f3dulos IIS .NET gestionados y un script PHP todo en uno.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Seguridad DNS avanzada<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 93.5858%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Related Unit 42 Topics<\/b><\/td>\n<td style=\"width: 214.469%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/seo-poisoning-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>envenenamiento SEO,<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/web-shells-es-la\/\" target=\"_blank\" rel=\"noopener\">Web Shells<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-159039-_heading=h.4fv5xw20ef5f\"><\/a>Antecedentes del malware BadIIS<\/h2>\n<p>Perfilado por primera vez en 2021, BadIIS es el t\u00e9rmino general para los <a href=\"https:\/\/learn.microsoft.com\/en-us\/iis\/get-started\/introduction-to-iis\/iis-modules-overview\" target=\"_blank\" rel=\"noopener\">m\u00f3dulos IIS nativos<\/a> maliciosos. Estos m\u00f3dulos se integran directamente en la cadena de solicitudes de un servidor web y heredan todos los privilegios de \u00e9ste. Debido a esta posici\u00f3n privilegiada dentro del servidor web, un solo implante puede realizar una amplia gama de acciones. Esto incluye la capacidad de:<\/p>\n<ul>\n<li>Inyecci\u00f3n de JavaScript o iframes<\/li>\n<li>T\u00fanel de tr\u00e1fico a trav\u00e9s de un proxy inverso integrado<\/li>\n<li>Redirecciones 302 que enga\u00f1an a los rastreadores de los motores de b\u00fasqueda<\/li>\n<li>Robo de informaci\u00f3n confidencial<\/li>\n<\/ul>\n<p>Los investigadores de ESET fueron los primeros en <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/2021\/08\/eset_anatomy_native_iis_malware.pdf\" target=\"_blank\" rel=\"noopener\">nombrar BadIIS a estos m\u00f3dulos<\/a> y en mapear sus variantes.<\/p>\n<h3><a id=\"post-159039-_heading=h.n6t1cqrgxfbl\"><\/a>El papel del envenenamiento de SEO<\/h3>\n<p>Los atacantes utilizan el malware BadIIS para manipular maliciosamente los resultados de los motores de b\u00fasqueda y dirigir el tr\u00e1fico hacia el destino elegido. Esta t\u00e9cnica se denomina envenenamiento de SEO. En lugar de construir la reputaci\u00f3n de un nuevo sitio web desde cero, lo que supone un proceso lento y dif\u00edcil, los atacantes comprometen sitios web leg\u00edtimos ya establecidos que cuentan con una buena reputaci\u00f3n de dominio.<\/p>\n<p>Para envenenar los resultados de b\u00fasqueda, los atacantes inyectan en el sitio web comprometido palabras clave y frases que aparecen con frecuencia en las b\u00fasquedas de Internet. Esta manipulaci\u00f3n altera el SEO del sitio, haciendo que aparezca en los resultados de b\u00fasqueda para una gama m\u00e1s amplia de consultas populares. Como resultado, la clasificaci\u00f3n del sitio web mejora para estos t\u00e9rminos de uso com\u00fan, lo que atrae m\u00e1s tr\u00e1fico al sitio ahora envenenado.<\/p>\n<h3><a id=\"post-159039-_heading=h.hoiwfg5c5it2\"><\/a>El flujo de ataque: un recorrido de alto nivel<\/h3>\n<p>En las siguientes secciones, describimos c\u00f3mo BadIIS aprovecha el envenenamiento de SEO en el flujo de un ataque. Esta campa\u00f1a tiene dos fases principales: atraer al buscador y atrapar a la v\u00edctima.<\/p>\n<h4><a id=\"post-159039-_heading=h.vtvemxk5p2ln\"><\/a>Fase\u00a01: el se\u00f1uelo envenenado<\/h4>\n<p>El objetivo del atacante en esta fase es hacer que un motor de b\u00fasqueda indexe el sitio web comprometido para determinadas palabras clave.<\/p>\n<ol>\n<li><strong>Solicitud HTTP entrante:<\/strong> un rastreador del motor de b\u00fasqueda visita el servidor web <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>\u00a0comprometido.<\/li>\n<li><strong>Intercepci\u00f3n del m\u00f3dulo BadIIS:<\/strong> el m\u00f3dulo inspecciona el encabezado <span style=\"font-family: 'courier new', courier, monospace;\">User-Agent.<\/span> Si el encabezado contiene una palabra clave de su lista de configuraci\u00f3n, el m\u00f3dulo identifica al visitante como un rastreador de motores de b\u00fasqueda.<\/li>\n<li><strong>Comunicaci\u00f3n y respuesta de C2:<\/strong> el m\u00f3dulo se pone en contacto con su servidor de comando y control (C2) para obtener el contenido envenenado. El C2 responde con HTML personalizado y repleto de palabras clave, dise\u00f1ado exclusivamente para SEO.<\/li>\n<li><strong>Resultado final: <\/strong>el m\u00f3dulo BadIIS sirve este HTML malicioso al rastreador del motor de b\u00fasqueda. Como resultado, el motor de b\u00fasqueda indexa <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>\u00a0o fuente relevante para los t\u00e9rminos encontrados en la respuesta C2, envenenando los resultados de b\u00fasqueda.<\/li>\n<\/ol>\n<h4><a id=\"post-159039-_heading=h.fcdmvbobgcks\"><\/a>Fase\u00a02: c\u00f3mo activar la trampa de la redirecci\u00f3n<\/h4>\n<p>Ahora que el se\u00f1uelo est\u00e1 preparado, el atacante espera a que la v\u00edctima haga clic en el resultado de b\u00fasqueda envenenado.<\/p>\n<ol>\n<li><strong>Solicitud HTTP entrante:<\/strong> alguien busca una palabra clave que aparece en la lista de configuraci\u00f3n del m\u00f3dulo y hace clic en el resultado de b\u00fasqueda envenenado, que apunta a <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>.<\/li>\n<li><strong>Intercepci\u00f3n del m\u00f3dulo BadIIS:<\/strong> si el m\u00f3dulo no marca esta petici\u00f3n como un rastreador de motores de b\u00fasqueda, entonces inspecciona el encabezado <span style=\"font-family: 'courier new', courier, monospace;\">Referer<\/span>. Si identifica el derivador como un motor de b\u00fasqueda, se\u00f1ala al visitante como v\u00edctima.<\/li>\n<li><strong>Comunicaci\u00f3n y respuesta de C2:<\/strong> el m\u00f3dulo contacta con el servidor\u00a0C2 para recuperar contenido malicioso. Normalmente, se trata de una redirecci\u00f3n a un sitio web fraudulento.<\/li>\n<li><strong>Resultado final:<\/strong> el m\u00f3dulo BadIIS realiza el proxy sin problemas de esta redirecci\u00f3n al navegador de la v\u00edctima. La v\u00edctima, que esperaba visitar <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>, es enviada inmediatamente al contenido fraudulento controlado por el atacante.<\/li>\n<\/ol>\n<h2><a id=\"post-159039-_heading=h.w6puz7iqetsg\"><\/a>An\u00e1lisis t\u00e9cnico del arsenal y la infraestructura de CL-UNK-1037<\/h2>\n<p>Investigamos una brecha de seguridad en la que atacantes accedieron a un servidor web. Tras conseguir un punto de apoyo inicial, los atacantes se dirigieron a varios servidores web de producci\u00f3n, controladores de dominio y otros hosts de gran valor. Despu\u00e9s:<\/p>\n<ul>\n<li>Implementaron web shells adicionales en cada servidor web comprometido.<\/li>\n<li>Crearon tareas remotas programadas para desplazarse lateralmente por la red y ejecutaron comandos de reconocimiento y conjuntos de herramientas adicionales en los equipos de destino.<\/li>\n<li>Crearon nuevas cuentas de usuario locales en los sistemas comprometidos.<\/li>\n<\/ul>\n<h3><a id=\"post-159039-_heading=h.n7tehfiin57d\"><\/a>Filtraci\u00f3n de c\u00f3digo fuente a trav\u00e9s de Internet<\/h3>\n<p>Los atacantes utilizaron sus shells web implementadas para comprimir todo el directorio de c\u00f3digo fuente de la aplicaci\u00f3n web en archivos ZIP. A continuaci\u00f3n, trasladaron los archivos a rutas accesibles por Internet.<\/p>\n<p>Esto indica claramente que los atacantes pretend\u00edan recuperar los archivos ZIP a trav\u00e9s de HTTP en una fase posterior. Tras exfiltrar el c\u00f3digo fuente, los atacantes cargaron varias DLL nuevas en los servidores web comprometidos, registr\u00e1ndolas silenciosamente como m\u00f3dulos IIS.<\/p>\n<p>An\u00e1lisis posteriores revelaron que estas DLL eran implantes <strong>BadIIS<\/strong>.<\/p>\n<h3><a id=\"post-159039-_heading=h.zaqx8d5clxem\"><\/a>La muestra BadIIS descubierta inicialmente<\/h3>\n<p>Una investigaci\u00f3n m\u00e1s detallada de la DLL del m\u00f3dulo IIS revel\u00f3 que exporta la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">RegisterModule<\/span>. Esta funci\u00f3n es llamada por IIS cuando se carga el m\u00f3dulo, y hace lo siguiente:<\/p>\n<ul>\n<li>Crea una instancia de un objeto llamado <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span><\/li>\n<li>Invoca <span style=\"font-family: 'courier new', courier, monospace;\">SetRequestNotifications<\/span> de IIS<\/li>\n<li>Registra manejadores para <span style=\"font-family: 'courier new', courier, monospace;\">OnBeginRequest<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">OnSendResponse<\/span><\/li>\n<\/ul>\n<p>Estos m\u00e9todos permiten al m\u00f3dulo manipular secretamente el contenido de la p\u00e1gina web interceptando la solicitud HTTP entrante antes de que comience cualquier procesamiento y de nuevo justo antes de que se env\u00ede la respuesta final.<\/p>\n<p>Una vez creada una instancia del objeto <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span>, su constructor extrae la configuraci\u00f3n cifrada del implante de la secci\u00f3n de datos de la DLL y la descifra con XOR en su lugar. <span style=\"font-family: 'courier new', courier, monospace;\">Chongxiede<\/span> es la transliteraci\u00f3n al pinyin chino de la palabra \u91cd\u5199 (ch\u00f3ng xi\u011b), que se traduce como \u201creescribir\u201d o \u201csobrescribir\u201d. En la Figura\u00a01, se muestra el proceso de descifrado.<\/p>\n<figure id=\"attachment_159040\" aria-describedby=\"caption-attachment-159040\" style=\"width: 368px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159040 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-686367-159039-1.png\" alt=\"Imagen que muestra un fragmento de c\u00f3digo inform\u00e1tico en un editor de texto con resaltado de sintaxis, que incluye funciones y variables del lenguaje de programaci\u00f3n C\/C++, relacionadas con procesos de cifrado.\" width=\"368\" height=\"282\" \/><figcaption id=\"caption-attachment-159040\" class=\"wp-caption-text\">Figura 1. El proceso de descifrado de la configuraci\u00f3n del implante.<\/figcaption><\/figure>\n<h3><a id=\"post-159039-_heading=h.tw4bn8894lmx\"><\/a>Configuraci\u00f3n y funcionamiento interno de BadIIS<\/h3>\n<p>La configuraci\u00f3n inicial del implante consta de:<\/p>\n<ul>\n<li>Lista de palabras clave de \u201creferer\/user-agent\u201d: <span style=\"font-family: 'courier new', courier, monospace;\">google|yahoo|bing|viet|coccoc|timkhap|tuugo<\/span><\/li>\n<li>Primer servidor C2: <span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.008php[.]com\/<\/span><\/li>\n<li>Segundo servidor C2: <span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]26\/<\/span><\/li>\n<\/ul>\n<p>Estos datos de configuraci\u00f3n muestran una estrategia orientada. Aunque la lista de palabras clave incluye motores de b\u00fasqueda globales comunes como Google y Bing, la presencia de servicios espec\u00edficos de cada idioma expone los objetivos del atacante:<\/p>\n<ul>\n<li>C\u1ed1c C\u1ed1c<\/li>\n<li>Timkhap<\/li>\n<li>viet<\/li>\n<\/ul>\n<p>Los dos primeros t\u00e9rminos son motores de b\u00fasqueda vietnamitas, mientras que el tercero se refiere a cualquier b\u00fasqueda relacionada con Vietnam. Este enfoque espec\u00edfico en el ecosistema digital de Vietnam demuestra una orientaci\u00f3n clara y estrat\u00e9gica del panorama digital del pa\u00eds.<\/p>\n<p>El m\u00f3dulo utiliza esta configuraci\u00f3n para ejecutar su l\u00f3gica central en tiempo de ejecuci\u00f3n. Si el encabezado <span style=\"font-family: 'courier new', courier, monospace;\">User-Agent<\/span> de la solicitud HTTP coincide con una palabra clave de la misma lista, el m\u00f3dulo identifica al visitante como un rastreador de motores de b\u00fasqueda y ejecuta su fase de envenenamiento. Se pone en contacto con el servidor\u00a0C2 para recuperar una p\u00e1gina web HTML maliciosa optimizada para SEO y la sirve como respuesta.<\/p>\n<p>En la Figura\u00a02, se muestra una carga \u00fatil real entregada por el servidor\u00a0C2. La carga \u00fatil contiene el HTML malicioso y una serie de enlaces que enga\u00f1an al motor de b\u00fasqueda para que los escanee e indexe.<\/p>\n<figure id=\"attachment_159051\" aria-describedby=\"caption-attachment-159051\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159051 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-688721-159039-2.png\" alt=\"Captura de pantalla de una p\u00e1gina web llena de m\u00faltiples hiperv\u00ednculos en vietnamita.\" width=\"1000\" height=\"751\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-688721-159039-2.png 1098w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-688721-159039-2-586x440.png 586w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-688721-159039-2-932x700.png 932w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-688721-159039-2-768x577.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159051\" class=\"wp-caption-text\">Figura 2. La carga \u00fatil venenosa de SEO del servidor C2.<\/figcaption><\/figure>\n<p>El mecanismo primero construye un se\u00f1uelo y luego activa la trampa. Los atacantes crean el se\u00f1uelo alimentando con contenido manipulado a los rastreadores de los motores de b\u00fasqueda. Esto hace que el sitio web comprometido se posicione para t\u00e9rminos adicionales con los que de otro modo no tendr\u00eda relaci\u00f3n.<\/p>\n<p>Por ejemplo, como se muestra en la Figura\u00a02, la carga \u00fatil est\u00e1 llena de enlaces que contienen consultas de b\u00fasqueda populares en vietnamita. Un ejemplo clave es <span style=\"font-family: 'courier new', courier, monospace;\">x\u00f4i l\u1ea1c tv tr\u1ef1c ti\u1ebfp b\u00f3ng \u0111\u00e1 h\u00f4m nay<\/span>, que se traduce como \u201cx\u00f4i l\u1ea1c tv en directo f\u00fatbol hoy\u201d. Esta es una b\u00fasqueda popular de un servicio ilegal de streaming de f\u00fatbol.<\/p>\n<p>Clasificar el servidor comprometido por este t\u00e9rmino permite a los atacantes explotar su credibilidad y reputaci\u00f3n. En la Figura\u00a03, se muestra un resultado de b\u00fasqueda en Google para esta cadena de t\u00e9rminos, que muestra que una entidad gubernamental del sudeste asi\u00e1tico fue vulnerada para servir contenido fraudulento.<\/p>\n<figure id=\"attachment_159062\" aria-describedby=\"caption-attachment-159062\" style=\"width: 983px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159062 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-691609-159039-3.png\" alt=\"Captura de pantalla de un sitio web con un titular en vietnamita, marcado con una flecha que apunta a la URL que tiene alguna redacci\u00f3n. El fondo presenta un gr\u00e1fico con un tema futbol\u00edstico y un anuncio de casino.\" width=\"983\" height=\"297\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-691609-159039-3.png 983w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-691609-159039-3-786x237.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-691609-159039-3-768x232.png 768w\" sizes=\"(max-width: 983px) 100vw, 983px\" \/><figcaption id=\"caption-attachment-159062\" class=\"wp-caption-text\">Figura 3. \u00cdndice de b\u00fasqueda en Google de una entidad gubernamental comprometida.<\/figcaption><\/figure>\n<p>Por el contrario, cuando el encabezado <span style=\"font-family: 'courier new', courier, monospace;\">Referer<\/span> de una solicitud HTTP entrante contiene alguna de las palabras clave de su configuraci\u00f3n, el m\u00f3dulo la marca como un usuario aut\u00e9ntico. En este caso, el m\u00f3dulo contacta con un servidor\u00a0C2 y env\u00eda su contenido directamente al navegador de la v\u00edctima.<\/p>\n<p>En la Figura\u00a04, se muestra una carga proxy real enviada desde el C2. Esta figura muestra que el servidor web comprometido redirige a los visitantes desprevenidos a un sitio de apuestas.<\/p>\n<figure id=\"attachment_159073\" aria-describedby=\"caption-attachment-159073\" style=\"width: 737px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159073 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-693893-159039-4.png\" alt=\"Captura de una pantalla de carga en un sitio web de juegos de azar, con un indicador de progreso que marca 1\u00a0segundo, texto en vietnamita que dice \u201cLoading, please wait...\u201d (Cargando, espere por favor...) y la traducci\u00f3n \u201cLoading, please wait patiently\u201d (Cargando, espere pacientemente, por favor). A continuaci\u00f3n, aparece un bot\u00f3n con la etiqueta \u201cEntering page\u201d (Entrando en la p\u00e1gina).\" width=\"737\" height=\"621\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-693893-159039-4.png 737w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-693893-159039-4-522x440.png 522w\" sizes=\"(max-width: 737px) 100vw, 737px\" \/><figcaption id=\"caption-attachment-159073\" class=\"wp-caption-text\">Figura 4. La carga \u00fatil del servidor C2: una p\u00e1gina de carga que redirige a los visitantes a un sitio web de apuestas.<\/figcaption><\/figure>\n<h3><a id=\"post-159039-_heading=h.szuayef9sz3k\"><\/a>Muestras adicionales e infraestructura<\/h3>\n<p>Una pista importante sobre la funcionalidad y el probable origen del implante se encuentra en su nombre de clase C++: <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span>. Como ya se\u00f1alamos, es la transliteraci\u00f3n al pinyin chino de la palabra \u91cd\u5199 (ch\u00f3ng xi\u011b), que se traduce como \u201creescribir\u201d o \u201csobrescribir\u201d. Este artefacto ling\u00fc\u00edstico sirvi\u00f3 como punto de inflexi\u00f3n en la investigaci\u00f3n y nos permiti\u00f3 ampliarla, conduci\u00e9ndonos finalmente a muestras adicionales y a la actividad de amenazas relacionadas con la infraestructura.<\/p>\n<p>Hemos descubierto un conjunto de m\u00f3dulos IIS nativos relacionados que comparten registros de controladores y l\u00f3gica de inicializaci\u00f3n. Varias de estas nuevas muestras apuntaban a dominios\u00a0C2 conocidos, variantes de la familia de dominios <span style=\"font-family: 'courier new', courier, monospace;\">008php[.]com<\/span>, mientras que otras introduc\u00edan infraestructura nunca vista. En la Figura\u00a05, se muestra la infraestructura y las conexiones entre las muestras.<\/p>\n<figure id=\"attachment_159084\" aria-describedby=\"caption-attachment-159084\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159084 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-696169-159039-5.png\" alt=\"Diagrama que muestra una red de dominios conectados con el nodo central etiquetado, rodeado de varios otros nodos enlazados con nombres de dominio num\u00e9ricos y alfab\u00e9ticos. Los nodos est\u00e1n vinculados a programas maliciosos representados por iconos de bichos con calaveras en su interior.\" width=\"1000\" height=\"886\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-696169-159039-5.png 1309w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-696169-159039-5-497x440.png 497w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-696169-159039-5-790x700.png 790w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-696169-159039-5-768x681.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159084\" class=\"wp-caption-text\">Figura 5. Las nuevas muestras e infraestructura de BadIIS.<\/figcaption><\/figure>\n<p>Analizamos estas muestras relacionadas y, a continuaci\u00f3n, extrajimos y desciframos sus configuraciones incrustadas. Este an\u00e1lisis revel\u00f3 una red m\u00e1s amplia de servidores\u00a0C2 y URL que no se hab\u00edan asociado previamente a esta campa\u00f1a. La investigaci\u00f3n sobre esta infraestructura reci\u00e9n descubierta revel\u00f3 tres variantes adicionales, que demuestran una expansi\u00f3n del conjunto de herramientas y capacidades del actor de amenazas m\u00e1s all\u00e1 del marco de m\u00f3dulos IIS nativo.<\/p>\n<p>Debido a la importancia de la informaci\u00f3n obtenida de este artefacto ling\u00fc\u00edstico, denominamos \u201cOperaci\u00f3n reescritura\u201d a la campa\u00f1a.<\/p>\n<h2><a id=\"post-159039-_heading=h.lt964kkg7r4l\"><\/a>Tres nuevas versiones del m\u00f3dulo BadIIS<\/h2>\n<h3><a id=\"post-159039-_heading=h.kgu15au7opnt\"><\/a>Primera variante: puerta de enlace ASP.NET<\/h3>\n<p>La primera variante que descubrimos no era un m\u00f3dulo nativo, sino un simple manejador de p\u00e1ginas ASP.NET. Esta variante basada en scripts usa una t\u00e9cnica diferente para lograr el mismo objetivo de envenenamiento de SEO que el m\u00f3dulo principal BadIIS.<\/p>\n<p>En lugar de engancharse directamente al canal de IIS, la p\u00e1gina ASP.NET contiene toda la l\u00f3gica maliciosa dentro de su evento <span style=\"font-family: 'courier new', courier, monospace;\">Page_Load<\/span>. Cuando una v\u00edctima solicita la p\u00e1gina al servidor, la p\u00e1gina comprueba el <span style=\"font-family: 'courier new', courier, monospace;\">HTTP_REFERER<\/span> del visitante para identificar y redirigir el tr\u00e1fico de los motores de b\u00fasqueda, ocultando su verdadero prop\u00f3sito. Para el resto del tr\u00e1fico, act\u00faa como puerta de enlace, enviando contenidos maliciosos desde un servidor\u00a0C2 remoto.<\/p>\n<p>Se trata de una alternativa m\u00e1s ligera y flexible que el m\u00f3dulo principal de BadIIS, probablemente para una implementaci\u00f3n r\u00e1pida en servidores comprometidos menos cr\u00edticos. En la Figura\u00a06, se muestra la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">Page_Load<\/span> de la variante ASP.NET.<\/p>\n<figure id=\"attachment_159095\" aria-describedby=\"caption-attachment-159095\" style=\"width: 671px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159095 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-698763-159039-6.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo de programaci\u00f3n que incluye l\u00f3gica para gestionar referencias de Twitter y redirigir el tr\u00e1fico web en funci\u00f3n de los encabezados user-agent y referrer.\" width=\"671\" height=\"638\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-698763-159039-6.png 671w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-698763-159039-6-463x440.png 463w\" sizes=\"(max-width: 671px) 100vw, 671px\" \/><figcaption id=\"caption-attachment-159095\" class=\"wp-caption-text\">Figura 6. La funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">Page_Load<\/span> de la variante ASP.NET.<\/figcaption><\/figure>\n<h3><a id=\"post-159039-_heading=h.cgfwuuqgiokl\"><\/a>Segunda variante: m\u00f3dulo IIS gestionado<\/h3>\n<p>La segunda variante consigui\u00f3 el mismo objetivo que el m\u00f3dulo IIS nativo, pero se implement\u00f3 como un m\u00f3dulo IIS .NET gestionado. Esta variante de C# aprovecha la integraci\u00f3n de ASP.NET en IIS. Se engancha a la cadena de solicitudes del servidor, otorg\u00e1ndole la capacidad de inspeccionar y modificar cada petici\u00f3n que pasa a trav\u00e9s de la aplicaci\u00f3n.<\/p>\n<p>Este m\u00f3dulo realiza el envenenamiento de SEO a trav\u00e9s de dos funciones principales:<\/p>\n<ul>\n<li><strong>Secuestro de error 404<\/strong>: Este m\u00f3dulo intercepta errores\u00a0404 cuando un motor de b\u00fasqueda rastrea un enlace inexistente que contiene palabras clave de una lista codificada. A continuaci\u00f3n, sirve una p\u00e1gina de estafa personalizada desde un servidor\u00a0C2, lo que provoca que los motores de b\u00fasqueda indexen el contenido del atacante bajo el dominio de confianza de la v\u00edctima.<\/li>\n<li><strong>Inyecci\u00f3n de contenidos en directo<\/strong>: cuando el m\u00f3dulo detecta que un rastreador de un motor de b\u00fasqueda visualiza una p\u00e1gina real que devuelve una respuesta <span style=\"font-family: 'courier new', courier, monospace;\">200\u00a0OK<\/span>, inyecta din\u00e1micamente enlaces de spam y palabras clave desde un servidor\u00a0C2 diferente. Esta acci\u00f3n altera la clasificaci\u00f3n de b\u00fasqueda de la p\u00e1gina existente, sin cambiar el contenido visible para los usuarios normales.<\/li>\n<\/ul>\n<h3><a id=\"post-159039-_heading=h.x54prcdbmh12\"><\/a>Tercera variante: script PHP todo en uno<\/h3>\n<p>La tercera variante es un script basado en PHP que combina la redirecci\u00f3n de usuarios y el envenenamiento din\u00e1mico de SEO. En lugar de integrarse en IIS, este script es un controlador frontal PHP independiente. Utiliza comprobaciones simples de referer, user agent y patr\u00f3n de URL para decidir exactamente qu\u00e9 servir.<\/p>\n<ul>\n<li><strong>Comprobaci\u00f3n de las solicitudes de los usuarios m\u00f3viles <\/strong><\/li>\n<\/ul>\n<p>Para los visitantes que llegan desde una b\u00fasqueda de Google en un dispositivo m\u00f3vil, el script realiza una comprobaci\u00f3n adicional. Si la ruta URL solicitada contiene una palabra clave de una lista codificada (por ejemplo, \u201cjuego\u201d o \u201cv\u00eddeo\u201d), act\u00faa como proxy. El script contacta silenciosamente con una URL C2 codificada, recupera el contenido y lo sirve directamente a la v\u00edctima, que permanece ajena a la sustituci\u00f3n.<\/p>\n<ul>\n<li><strong>Envenenamiento SEO dirigido a Googlebot<\/strong><\/li>\n<\/ul>\n<p>Cuando el script detecta Googlebot, inicia un proceso de dos etapas para envenenar el ranking del sitio en los motores de b\u00fasqueda.<\/p>\n<ul>\n<li><strong>Generador de mapas de sitios<\/strong>: en primer lugar, el script obtiene una lista de nombres de p\u00e1ginas del servidor\u00a0C2 y los presenta a Googlebot como un mapa del sitio XML v\u00e1lido lleno de URL falsas.<\/li>\n<li><strong>Reescritor de contenido<\/strong>: cuando Googlebot rastrea estas URL falsas, se activa la segunda etapa del script, que se convierte en un reescritor de contenidos. El script obtiene una plantilla HTML de otro C2 e inyecta palabras clave de la URL en el t\u00edtulo y los encabezados de la p\u00e1gina. El resultado es una p\u00e1gina de spam optimizada, dise\u00f1ada para aparecer en los primeros puestos de los resultados de b\u00fasqueda.<\/li>\n<\/ul>\n<h2><a id=\"post-159039-_heading=h.rqmga5zdn70m\"><\/a>Exploraci\u00f3n de los or\u00edgenes de los actores de amenazas<\/h2>\n<p>Analizamos pistas ling\u00fc\u00edsticas y los solapamientos de infraestructuras para determinar los or\u00edgenes de los actores de amenazas detr\u00e1s de CL-UNK-1037. Atribuimos este cl\u00faster de actividad, con un alto grado de confianza, a atacantes chinos. Adem\u00e1s, vinculamos este cl\u00faster con moderada confianza al Group\u00a09 y con baja confianza a DragonRank.<\/p>\n<h3><a id=\"post-159039-_heading=h.1b8mmkgpgf0j\"><\/a>Actores de amenazas chinos<\/h3>\n<p>Varios artefactos sugieren la participaci\u00f3n de un actor de amenazas chino. Como ya se ha indicado, el nombre del objeto <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span> del m\u00f3dulo nativo es un t\u00e9rmino pinyin. La variante PHP conten\u00eda m\u00e1s pruebas ling\u00fc\u00edsticas: numerosos comentarios del c\u00f3digo escritos en caracteres chinos simplificados.<\/p>\n<p>En la Figura\u00a07, se muestran los comentarios escritos en chino simplificado en la variante PHP, junto con las traducciones al ingl\u00e9s.<\/p>\n<figure id=\"attachment_159106\" aria-describedby=\"caption-attachment-159106\" style=\"width: 708px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159106 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-701005-159039-7.png\" alt=\"Captura de pantalla de un script que comprueba el referente HTTP y el agente de usuario para identificar dispositivos m\u00f3viles y redirigir en funci\u00f3n de condiciones espec\u00edficas. Cuatro secciones est\u00e1n resaltadas en rojo. \" width=\"708\" height=\"933\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-701005-159039-7.png 708w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-701005-159039-7-334x440.png 334w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-701005-159039-7-531x700.png 531w\" sizes=\"(max-width: 708px) 100vw, 708px\" \/><figcaption id=\"caption-attachment-159106\" class=\"wp-caption-text\">Figura 7. El inicio de la variante PHP.<\/figcaption><\/figure>\n<h3><a id=\"post-159039-_heading=h.sld7qwwjysmj\"><\/a>El dise\u00f1o del c\u00f3digo y la infraestructura se solapan con el Grupo\u00a09<\/h3>\n<p>El dise\u00f1o de la arquitectura interna de BadIIS guarda similitudes con variantes utilizadas anteriormente por Group\u00a09, tal y como describe ESET en su informe t\u00e9cnico. Estas similitudes incluyen lo siguiente:<\/p>\n<ul>\n<li>Uso de la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">RegisterModule<\/span> para inicializar los componentes del m\u00f3dulo<\/li>\n<li>Uso de los controladores <span style=\"font-family: 'courier new', courier, monospace;\">OnBeginRequest<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">OnSendResponse<\/span> para interceptar y modificar el tr\u00e1fico web<\/li>\n<\/ul>\n<p>Este dise\u00f1o paralelo sugiere que los atacantes est\u00e1n construyendo sus implantes utilizando un c\u00f3digo base o patr\u00f3n de dise\u00f1o compartido.<\/p>\n<p>El solapamiento directo de la infraestructura C2 en tres dominios distintos consolida la conexi\u00f3n con Group\u00a09. Los servidores\u00a0C2 codificados en las muestras de BadIIS inclu\u00edan:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">404.008php[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">404.yyphw[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">404.300bt[.]com<\/span><\/li>\n<\/ul>\n<p>Estos servidores corresponden directamente a dominios utilizados por Group\u00a09. En concreto, ESET observ\u00f3 que Group\u00a09 utilizaba los siguientes subdominios:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">qp.008php[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcp.yyphw[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sc.300bt[.]com<\/span><\/li>\n<\/ul>\n<p>En la Figura\u00a08, se ilustra esta infraestructura.<\/p>\n<figure id=\"attachment_159117\" aria-describedby=\"caption-attachment-159117\" style=\"width: 889px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159117 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-703498-159039-8.png\" alt=\"Diagrama que muestra la infraestructura del grupo de actividad denominado CL-UNK-1037 por PANW en la parte superior, que se conecta hacia abajo a once nodos que a su vez se conectan a un nodo denominado \u201cGroup\u00a09\u201d en la parte inferior. Cada nodo est\u00e1 representado por un c\u00edrculo que contiene un icono de engranaje con seis dientes.\" width=\"889\" height=\"909\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-703498-159039-8.png 889w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-703498-159039-8-430x440.png 430w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-703498-159039-8-685x700.png 685w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-703498-159039-8-768x785.png 768w\" sizes=\"(max-width: 889px) 100vw, 889px\" \/><figcaption id=\"caption-attachment-159117\" class=\"wp-caption-text\">Figura\u00a08. Hay un solapamiento de la infraestructura entre las nuevas muestras y Group\u00a09.<\/figcaption><\/figure>\n<h3><a id=\"post-159039-_heading=h.f9wd9vy0oalv\"><\/a>Posible conexi\u00f3n con DragonRank<\/h3>\n<p>Adem\u00e1s de los v\u00ednculos directos con Group\u00a09, observamos varias similitudes con la campa\u00f1a de DragonRank. Como se detalla en el <a href=\"https:\/\/blog.talosintelligence.com\/dragon-rank-seo-poisoning\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo de Talos<\/a> de Cisco, atribuyen DragonRank a un actor de amenazas chino que comparte similitudes con Group\u00a09 de ESET.<\/p>\n<p>Aunque no encontramos coincidencias de infraestructura entre CL-UNK-1037 y la campa\u00f1a de DragonRank, s\u00ed observamos las siguientes similitudes:<\/p>\n<ul>\n<li>Juego de herramientas: funcionalidad b\u00e1sica y flujo l\u00f3gico de malware similares, utilizando implementaciones diferentes. Ambas variantes son herramientas de SEO y proxy.<\/li>\n<li><strong>Estructura de URI<\/strong>: un patr\u00f3n\u00a0zz recurrente en las URL de C2. Aunque el patr\u00f3n se utiliza de forma diferente en cada campa\u00f1a, creemos que podr\u00eda deberse a la evoluci\u00f3n o la actualizaci\u00f3n de las herramientas a lo largo del tiempo.<\/li>\n<\/ul>\n<h2><a id=\"post-159039-_heading=h.jd9ft5i8o9fc\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Nuestra investigaci\u00f3n sobre una campa\u00f1a de envenenamiento de SEO descubri\u00f3 un actor de amenazas chino que usaba un libro de jugadas de implantes personalizados. El actor de amenazas adapt\u00f3 todos los implantes al objetivo de manipular los resultados de los motores de b\u00fasqueda y controlar el flujo de tr\u00e1fico.<\/p>\n<p>A juzgar por las pruebas ling\u00fc\u00edsticas directas, as\u00ed como por los v\u00ednculos de infraestructura y arquitectura entre este actor y el cl\u00faster de Group\u00a09, tenemos un alto grado de certeza de que esta actividad la lleva a cabo un actor chino. Nuestra investigaci\u00f3n tambi\u00e9n revel\u00f3 varias similitudes con la campa\u00f1a de DragonRank.<\/p>\n<p>Los equipos de seguridad y los defensores de la red pueden aprovechar los an\u00e1lisis e indicadores de este informe para mejorar sus capacidades de detecci\u00f3n y b\u00fasqueda de amenazas, reforzando su seguridad frente a \u00e9stas y otras amenazas similares.<\/p>\n<h3><a id=\"post-159039-_heading=h.6u09a9x82oha\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security <\/a> identifican como maliciosos los dominios y URL conocidos asociados con esta actividad.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> previene las amenazas descritas en este blog empleando el motor de prevenci\u00f3n de malware. Este enfoque combina varias capas de protecci\u00f3n, entre ellas <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, la protecci\u00f3n contra amenazas de comportamiento y el m\u00f3dulo de an\u00e1lisis local, para impedir que el malware, tanto conocido como desconocido, cause da\u00f1os en los endpoints.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-159039-_heading=h.9m427ywgkcod\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p>BadIIS implanta hashes SHA256:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01a616e25f1ac661a7a9c244fd31736188ceb5fce8c1a5738e807fdbef70fd60<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bc3bba91572379e81919b9e4d2cbe3b0aa658a97af116e2385b99b610c22c08c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5aa684e90dd0b85f41383efe89dddb2d43ecbdaf9c1d52c40a2fdf037fb40138<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c5455c43f6a295392cf7db66c68f8c725029f88e089ed01e3de858a114f0764f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">82096c2716a4de687b3a09b638e39cc7c12959bf380610d5f8f9ac9cddab64d7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ed68c5a8c937cd55406c152ae4a2780bf39647f8724029f04e1dce136eb358ea<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6d79b32927bac8020d25aa326ddf44e7d78600714beacd473238cc0d9b5d1ccf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b95a1619d1ca37d652599b0b0a6188174c71147e9dc7fb4253959bd64c4c1e9f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8078fa156f5ab8be073ad3f616a2302f719713aac0f62599916c5084dd326060<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a73c7f833a83025936c52a8f217c9793072d91346bb321552f3214efdeef59eb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6d044b27cd3418bf949b3db131286c8f877a56d08c3bbb0924baf862a6d13b27<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">78ef67ec600045b7deb8b8ac747845119262bea1d51b2332469b1f769fb0b67d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">78ef67ec600045b7deb8b8ac747845119262bea1d51b2332469b1f769fb0b67d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">88de33754e96cfa883d737aea7231666c4e6d058e591ef3b566f5c13a88c0b56<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a393b62df62f10c5c16dd98248ee14ca92982e7ac54cb3e1c83124c3623c8c43<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">40a0d0ee76b72202b63301a64c948acb3a4da8bac4671c7b7014a6f1e7841bd2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">40a0d0ee76b72202b63301a64c948acb3a4da8bac4671c7b7014a6f1e7841bd2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1c870ee30042b1f6387cda8527c2a9cf6791195e63c5126d786f807239bd0ddc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">271c1ddfdfb6ba82c133d1e0aac3981b2c399f16578fcf706f5e332703864656<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">22a9e1675bd8b8d64516bd4be1f07754c8f4ad6c59a965d0e009cbeaca6147a7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e2e00fd57d177e4c90c1e6a973cae488782f73378224f54cf1284d69a88b6805<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23aa7c29d1370d31f2631abd7df4c260b85227a433ab3c7d77e8f2d87589948f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ab0b548931e3e07d466ae8598ca9cd8b10409ab23d471a7124e2e67706a314e8<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">22a4f8aead6aef38b0dc26461813499c19c6d9165d375f85fb872cd7d9eba5f9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">de570369194da3808ab3c3de8fb7ba2aac1cc67680ebdc75348b309e9a290d37<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d8a7320e2056daf3ef4d479ff1bb5ce4facda67dfc705e8729aeca78d6f9ca84<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d6a0763f6ef19def8a248c875fd4a5ea914737e3914641ef343fe1e51b04f858<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c6622e2900b8112e8157f923e9fcbd48889717adfe1104e07eb253f2e90d2c6a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6cff06789bf27407aa420e73123d4892a8f15cae9885ff88749fd21aa6d0e8ad<\/span><\/li>\n<\/ul>\n<p>Hash SHA256 del manejador de archivos ASPX:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b056197f093cd036fa509609d80ece307864806f52ab962901939b45718c18a8<\/span><\/li>\n<\/ul>\n<p>Hash SHA256 de m\u00f3dulo IIS gestionado:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2af61e5acc4ca390d3bd43bc649ab30951ed7b4e36d58a05f5003d92fde5e9a7<\/span><\/li>\n<\/ul>\n<p>Hash SHA256 de gestor de archivos PHP:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">36bf18c3edd773072d412f4681fb25b1512d0d8a00aac36514cd6c48d80be71b<\/span><\/li>\n<\/ul>\n<p>URL de C2:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]26\/xvn.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/x404.008php[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]78\/vn.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/x404.008php[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]78\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]78\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/cs.pyhycy[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/cs.pyhycy[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/sl.008php[.]com\/kt.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/160.30.173[.]87\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.pyhycy[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.pyhycy[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hao563[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.300bt[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.yyphw[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]26\/kt.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.yyphw[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hzyzn[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hzyzn[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.300bt[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.248.20[.]197\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.248.20[.]197\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/fb88s[.]icu\/uu\/tt.js<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hao563[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/www.massnetworks[.]org<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/vn404.008php[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/vn404.008php[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.008php[.]com\/zz\/u.php<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-159039-_heading=h.apb7pldhzgze\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/web-assets.esetstatic.com\/wls\/2021\/08\/eset_anatomy_native_iis_malware.pdf\" target=\"_blank\" rel=\"noopener\">ANATOMY OF NATIVE IIS MALWARE<\/a> (ANATOM\u00cdA DEL MALWARE IIS NATIVO), Eset<\/li>\n<li><a href=\"https:\/\/blog.talosintelligence.com\/dragon-rank-seo-poisoning\/\" target=\"_blank\" rel=\"noopener\">DragonRank, a Chinese-speaking SEO manipulator service provider<\/a> (DragonRank, un proveedor chino de servicios de manipulaci\u00f3n de SEO), Talos, Cisco<\/li>\n<li><a href=\"https:\/\/sec.vnpt.vn\/2024\/09\/part-2-hacker-thuc-hien-black-hat-seo-cac-trang-web-bat-hop-phap-bang-tan-cong-redirect-nhu-the-nao\" target=\"_blank\" rel=\"noopener\">Hacker th\u1ef1c hi\u1ec7n Black Hat SEO c\u00e1c trang web b\u1ea5t h\u1ee3p ph\u00e1p b\u1eb1ng t\u1ea5n c\u00f4ng Redirect nh\u01b0 th\u1ebf n\u00e0o ?<\/a> \u2013 VNPT<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La campa\u00f1a de envenenamiento de SEO, denominada Operaci\u00f3n Rewrite, utiliza un m\u00f3dulo malicioso de IIS llamado BadIIS para redirigir a los usuarios a sitios web no deseados.<\/p>\n","protected":false},"author":366,"featured_media":158094,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8793],"tags":[9636,9454,9532],"product_categories":[8925,8921,8932,8934,8890],"coauthors":[8509],"class_list":["post-159039","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-malware-es-la","tag-cl-unk-1037-es-la","tag-seo-poisoning-es-la","tag-web-shells-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala<\/title>\n<meta name=\"description\" content=\"La campa\u00f1a de envenenamiento de SEO, denominada Operaci\u00f3n Rewrite, utiliza un m\u00f3dulo malicioso de IIS llamado BadIIS para redirigir a los usuarios a sitios web no deseados.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala\" \/>\n<meta property=\"og:description\" content=\"La campa\u00f1a de envenenamiento de SEO, denominada Operaci\u00f3n Rewrite, utiliza un m\u00f3dulo malicioso de IIS llamado BadIIS para redirigir a los usuarios a sitios web no deseados.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-22T13:50:51+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-26T14:29:12+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Yoav Zemah\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala","description":"La campa\u00f1a de envenenamiento de SEO, denominada Operaci\u00f3n Rewrite, utiliza un m\u00f3dulo malicioso de IIS llamado BadIIS para redirigir a los usuarios a sitios web no deseados.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/","og_locale":"es_LA","og_type":"article","og_title":"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala","og_description":"La campa\u00f1a de envenenamiento de SEO, denominada Operaci\u00f3n Rewrite, utiliza un m\u00f3dulo malicioso de IIS llamado BadIIS para redirigir a los usuarios a sitios web no deseados.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/","og_site_name":"Unit 42","article_published_time":"2025-09-22T13:50:51+00:00","article_modified_time":"2025-09-26T14:29:12+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","type":"image\/jpeg"}],"author":"Yoav Zemah","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala","datePublished":"2025-09-22T13:50:51+00:00","dateModified":"2025-09-26T14:29:12+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/"},"wordCount":4563,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","keywords":["CL-UNK-1037","SEO poisoning","web shells"],"articleSection":["Investigaci\u00f3n de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/","name":"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","datePublished":"2025-09-22T13:50:51+00:00","dateModified":"2025-09-26T14:29:12+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"La campa\u00f1a de envenenamiento de SEO, denominada Operaci\u00f3n Rewrite, utiliza un m\u00f3dulo malicioso de IIS llamado BadIIS para redirigir a los usuarios a sitios web no deseados.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of a wide-scale SEO poisoning campaign. A digital illustration of a world map in a network style, highlighting continents with glowing lines and connectivity points in a red and blue theme."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/operation-rewrite-seo-poisoning-campaign\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Operaci\u00f3n reescritura: actores de amenazas chinos implementan BadIIS en una campa\u00f1a de envenenamiento SEO a gran escala"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=159039"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159039\/revisions"}],"predecessor-version":[{"id":159128,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159039\/revisions\/159128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/158094"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=159039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=159039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=159039"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=159039"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=159039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}