{"id":158949,"date":"2025-09-22T09:56:58","date_gmt":"2025-09-22T16:56:58","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=158949"},"modified":"2025-09-25T10:31:14","modified_gmt":"2025-09-25T17:31:14","slug":"operation-rewrite-seo-poisoning-campaign","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/","title":{"rendered":"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO"},"content":{"rendered":"<h2><a id=\"post-158949-_heading=h.eokonshow4ov\"><\/a>Avant-propos<\/h2>\n<p>En mars\u00a02025, nous avons d\u00e9couvert une campagne d\u2019empoisonnement des r\u00e9sultats de recherche (SEO poisoning). Sur la base de l\u2019infrastructure et des artefacts linguistiques identifi\u00e9s, nous estimons \u2013\u00a0avec un haut niveau de confiance\u00a0\u2013 qu\u2019un acteur de la menace sinophone en est \u00e0 l\u2019origine. Nous avons baptis\u00e9 cette op\u00e9ration \u00ab\u00a0Rewrite\u00a0\u00bb, en r\u00e9f\u00e9rence \u00e0 la traduction anglaise de l\u2019un des objets pr\u00e9sents dans le code.<\/p>\n<p>Nous suivons ce cluster d\u2019activit\u00e9 sous l\u2019identifiant <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">CL-UNK-1037<\/a>. Notre analyse a r\u00e9v\u00e9l\u00e9 des recoupements au niveau de l\u2019infrastructure et de l\u2019architecture avec le cluster de menace suivi publiquement sous le nom de \u00ab\u00a0Group 9\u00a0\u00bb, ainsi qu\u2019avec la campagne \u00ab\u00a0DragonRank\u00a0\u00bb.<\/p>\n<p>Dans le cadre d\u2019une attaque d\u2019empoisonnement\u00a0SEO, les cyber attaquants manipulent les r\u00e9sultats des moteurs de recherche afin d\u2019inciter les internautes \u00e0 visiter des sites inattendus ou ind\u00e9sirables (sites de jeux d\u2019argent, contenu pornographique), dans un objectif financier. Un module Internet Information Service (IIS) malveillant, baptis\u00e9 BadIIS, a \u00e9t\u00e9 implant\u00e9 pour intercepter et alt\u00e9rer le trafic web en exploitant des serveurs l\u00e9gitimes \u2013\u00a0mais compromis\u00a0\u2013 pour diffuser du contenu malveillant. Le serveur web compromis agit alors comme un proxy \u00ab\u00a0reverse\u00a0\u00bb\u00a0\u2013 un serveur interm\u00e9diaire qui r\u00e9cup\u00e8re du contenu aupr\u00e8s d\u2019autres serveurs et le pr\u00e9sente comme s\u2019il \u00e9tait le sien.<\/p>\n<p>L\u2019analyse de la configuration du malware r\u00e9v\u00e8le un ciblage clair de l\u2019Asie de l\u2019Est et du Sud-Est, ce qui est d\u2019autant plus \u00e9vident dans le code du module, qui int\u00e8gre une logique sp\u00e9cifique pour des moteurs de recherche r\u00e9gionaux.<\/p>\n<p>Les attaquants \u00e0 l\u2019origine de cette campagne utilisent un arsenal qui d\u00e9passe le module\u00a0BadIIS. Nous avons identifi\u00e9 des variantes non document\u00e9es, incluant des gestionnaires de pages\u00a0ASP.NET all\u00e9g\u00e9s, des modules\u00a0IIS manag\u00e9s en .NET et un script\u00a0PHP tout-en-un.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 98.544%;\">\n<thead>\n<tr style=\"height: 28px;\">\n<td style=\"width: 35%; height: 28px;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 221.724%; height: 28px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/seo-poisoning-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Empoisonnement SEO<\/b>,<\/a> <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/web-shells-fr\/\" target=\"_blank\" rel=\"noopener\">Web Shells<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-158949-_heading=h.dtfr09abuz83\"><\/a>Malware\u00a0BadIIS \u2013\u00a0Le contexte<\/h2>\n<p>Profil\u00e9 pour la premi\u00e8re fois en 2021, BadIIS d\u00e9signe un ensemble de <a href=\"https:\/\/learn.microsoft.com\/en-us\/iis\/get-started\/introduction-to-iis\/iis-modules-overview\" target=\"_blank\" rel=\"noopener\">modules\u00a0IIS natifs<\/a> mais malveillants. Ces modules s\u2019int\u00e8grent directement dans le pipeline de requ\u00eates du serveur\u00a0web et h\u00e9ritent de l\u2019ensemble de ses privil\u00e8ges. En raison de cette position privil\u00e9gi\u00e9e au sein du serveur, un seul implant peut ex\u00e9cuter une large vari\u00e9t\u00e9 d\u2019actions, parmi lesquelles\u00a0:<\/p>\n<ul>\n<li>injection de JavaScript ou d\u2019iframes<\/li>\n<li>utilisation d\u2019un proxy \u00ab\u00a0reverse\u00a0\u00bb int\u00e9gr\u00e9 pour faire transiter le trafic<\/li>\n<li>redirections\u00a0302 afin de tromper les robots d\u2019indexation des moteurs de recherche<\/li>\n<li>vol d\u2019informations sensibles<\/li>\n<\/ul>\n<p>Les chercheurs d\u2019ESET ont \u00e9t\u00e9 les premiers \u00e0 <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/2021\/08\/eset_anatomy_native_iis_malware.pdf\" target=\"_blank\" rel=\"noopener\">d\u00e9signer ces modules sous le nom BadIIS<\/a> et \u00e0 en dresser une cartographie.<\/p>\n<h3><a id=\"post-158949-_heading=h.7fncwyk43mq7\"><\/a>Le r\u00f4le de l\u2019empoisonnement SEO<\/h3>\n<p>Les attaquants utilisent le malware\u00a0BadIIS pour manipuler de mani\u00e8re malveillante les r\u00e9sultats des moteurs de recherche et orienter le trafic vers la destination de leur choix. Cette technique a un nom\u00a0: l\u2019empoisonnement SEO. Plut\u00f4t que de b\u00e2tir la r\u00e9putation d\u2019un nouveau site \u2013\u00a0un processus fastidieux et chronophage\u00a0\u2013 les attaquants compromettent des sites l\u00e9gitimes et d\u00e9j\u00e0 \u00e9tablis dont le domaine jouit d\u2019une bonne r\u00e9putation.<\/p>\n<p>Pour empoisonner les r\u00e9sultats, les attaquants injectent sur le site compromis des mots-cl\u00e9s et des expressions fr\u00e9quemment recherch\u00e9s sur Internet. Cette manipulation alt\u00e8re le r\u00e9f\u00e9rencement du site, qui appara\u00eet d\u00e9sormais pour un plus large \u00e9ventail de requ\u00eates populaires. En cons\u00e9quence, le classement du site s\u2019am\u00e9liore sur ces termes courants, attirant davantage de trafic vers la page d\u00e9sormais \u00ab\u00a0empoisonn\u00e9e\u00a0\u00bb.<\/p>\n<h3><a id=\"post-158949-_heading=h.herljjp3e0xt\"><\/a>Vue d\u2019ensemble du flux d\u2019attaque<\/h3>\n<p>Dans les sections suivantes, nous d\u00e9crivons la mani\u00e8re dont BadIIS exploite l\u2019empoisonnement\u00a0SEO. Cette campagne comprend deux grandes phases\u00a0: inciter les moteurs de recherche \u00e0 indexer les pages compromises, puis pi\u00e9ger les visiteurs redirig\u00e9s.<\/p>\n<h4><a id=\"post-158949-_heading=h.1wh1ip2sw9jd\"><\/a>Phase\u00a01\u00a0: Phase 1 \u2013\u00a0Le leurre empoisonn\u00e9<\/h4>\n<p>L\u2019objectif de l\u2019attaquant consiste \u00e0 amener un moteur de recherche \u00e0 indexer le site compromis pour certains mots-cl\u00e9s.<\/p>\n<ol>\n<li><strong>Requ\u00eate\u00a0HTTP entrante\u00a0:<\/strong> un robot d\u2019indexation (crawler) d\u2019un moteur de recherche visite le serveur\u00a0web compromis <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>.<\/li>\n<li><strong>Interception par le module\u00a0BadIIS\u00a0:<\/strong> le module inspecte l\u2019en-t\u00eate\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">User-Agent<\/span>. Si cet en-t\u00eate contient un mot-cl\u00e9 pr\u00e9sent dans sa liste de configuration, le module identifie le visiteur comme un crawler.<\/li>\n<li><strong>Communication C2 et r\u00e9ponse\u00a0:<\/strong> le module contacte son serveur de commande et contr\u00f4le (C2) pour r\u00e9cup\u00e9rer le contenu empoisonn\u00e9. Le C2 renvoie un HTML sur mesure, charg\u00e9 de mots-cl\u00e9s et con\u00e7u exclusivement pour le SEO.<\/li>\n<li><strong>R\u00e9sultat final\u00a0: <\/strong>le module\u00a0BadIIS renvoie cet HTML malveillant au crawler. En cons\u00e9quence, le moteur de recherche indexe <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span> comme source pertinente pour les termes pr\u00e9sents dans la r\u00e9ponse du C2, empoisonnant ainsi les r\u00e9sultats de recherche.<\/li>\n<\/ol>\n<h4><a id=\"post-158949-_heading=h.gx2f0ghq2h2e\"><\/a>Phase\u00a02\u00a0: le pi\u00e8ge de la redirection<\/h4>\n<p>Maintenant que le leurre est en place, l\u2019attaquant attend qu\u2019une victime clique sur le r\u00e9sultat empoisonn\u00e9.<\/p>\n<ol>\n<li><strong>Requ\u00eate\u00a0HTTP entrante\u00a0:<\/strong> un internaute recherche un mot-cl\u00e9 pr\u00e9sent dans la liste de configuration du module et clique sur le r\u00e9sultat empoisonn\u00e9 pointant vers <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>.<\/li>\n<li><strong>Interception par le module\u00a0BadIIS\u00a0:<\/strong> si le module n\u2019identifie pas cette requ\u00eate comme provenant d\u2019un crawler, il inspecte alors l\u2019en-t\u00eate <span style=\"font-family: 'courier new', courier, monospace;\">Referer<\/span>. S\u2019il reconna\u00eet le r\u00e9f\u00e9rent comme \u00e9tant un moteur de recherche, il marque le visiteur comme une victime.<\/li>\n<li><strong>Communication C2 et r\u00e9ponse\u00a0:<\/strong> le module contacte le serveur\u00a0C2 pour r\u00e9cup\u00e9rer le contenu malveillant. Il s\u2019agit g\u00e9n\u00e9ralement d\u2019une redirection vers un site frauduleux.<\/li>\n<li><strong>R\u00e9sultat final\u00a0:<\/strong> le module BadIIS relaie en toute transparence cette redirection vers le navigateur de la victime. L\u2019internaute, qui s\u2019attendait \u00e0 visiter <span style=\"font-family: 'courier new', courier, monospace;\">www.victim[.]com<\/span>, est imm\u00e9diatement redirig\u00e9 vers le contenu contr\u00f4l\u00e9 par l\u2019attaquant.<\/li>\n<\/ol>\n<h2><a id=\"post-158949-_heading=h.x7yexv6swqi\"><\/a>Analyse technique de l\u2019arsenal et de l\u2019infrastructure\u00a0CL-UNK-1037<\/h2>\n<p>Nous avons enqu\u00eat\u00e9 sur une compromission dans laquelle des attaquants ont obtenu un acc\u00e8s initial \u00e0 un serveur\u00a0web. Apr\u00e8s avoir \u00e9tabli une premi\u00e8re pr\u00e9sence, les acteurs se sont propag\u00e9s vers plusieurs serveurs\u00a0web de production, contr\u00f4leurs de domaine et autres h\u00f4tes de grande valeur. Ils ont ensuite\u00a0:<\/p>\n<ul>\n<li>d\u00e9ploy\u00e9 des web\u00a0shells suppl\u00e9mentaires sur chaque serveur\u00a0web compromis\u00a0;<\/li>\n<li>cr\u00e9\u00e9 des t\u00e2ches planifi\u00e9es \u00e0 distance pour se d\u00e9placer lat\u00e9ralement au sein du r\u00e9seau, et ex\u00e9cut\u00e9 des commandes de reconnaissance ainsi que des jeux d\u2019outils compl\u00e9mentaires sur les machines cibl\u00e9es\u00a0;<\/li>\n<li>cr\u00e9\u00e9 de nouveaux comptes utilisateurs locaux sur les syst\u00e8mes compromis.<\/li>\n<\/ul>\n<h3><a id=\"post-158949-_heading=h.1thnr1i3nw93\"><\/a>Exfiltration du code source via le web<\/h3>\n<p>Les attaquants ont utilis\u00e9 les webshells d\u00e9ploy\u00e9s pour compresser l\u2019int\u00e9gralit\u00e9 du r\u00e9pertoire du code source de l\u2019application web dans des archives au format ZIP. Ils ont ensuite d\u00e9plac\u00e9 ces archives vers des emplacements accessibles via le web.<\/p>\n<p>Cela indique clairement que les acteurs pr\u00e9voyaient de r\u00e9cup\u00e9rer ult\u00e9rieurement ces archives via HTTP. Apr\u00e8s l\u2019exfiltration du code source, les attaquants ont t\u00e9l\u00e9vers\u00e9 plusieurs nouvelles\u00a0DLL sur les serveurs\u00a0web compromis, en les enregistrant discr\u00e8tement en tant que modules\u00a0IIS.<\/p>\n<p>Des analyses compl\u00e9mentaires ont permis d\u2019identifier ces DLL comme des implants\u00a0<strong>BadIIS<\/strong>.<\/p>\n<h3><a id=\"post-158949-_heading=h.8to77z9yx8fq\"><\/a>L\u2019\u00e9chantillon\u00a0BadIIS d\u00e9couvert initialement<\/h3>\n<p>Une investigation plus approfondie de la DLL du module\u00a0IIS a r\u00e9v\u00e9l\u00e9 qu\u2019elle exportait la fonction <span style=\"font-family: 'courier new', courier, monospace;\">RegisterModule<\/span>. La fonction RegisterModule, appel\u00e9e par IIS au chargement du module\u00a0:<\/p>\n<ul>\n<li>cr\u00e9e une instance d\u2019un objet nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span>\u00a0;<\/li>\n<li>invoque <span style=\"font-family: 'courier new', courier, monospace;\">SetRequestNotifications<\/span> d\u2019IIS\u00a0;<\/li>\n<li>enregistre des gestionnaires pour <span style=\"font-family: 'courier new', courier, monospace;\">OnBeginRequest<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">OnSendResponse<\/span>.<\/li>\n<\/ul>\n<p>Ces m\u00e9thodes permettent au module de manipuler discr\u00e8tement le contenu des pages\u00a0web en interceptant la requ\u00eate\u00a0HTTP entrante avant tout traitement, puis \u00e0 nouveau juste avant l\u2019envoi de la r\u00e9ponse finale.<\/p>\n<p>Une fois une instance de l\u2019objet <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span> cr\u00e9\u00e9e, son constructeur extrait la configuration chiffr\u00e9e de l\u2019implant depuis la section de donn\u00e9es de la DLL et la d\u00e9chiffre par XOR, \u00e9l\u00e9ment par \u00e9l\u00e9ment, directement en m\u00e9moire. <span style=\"font-family: 'courier new', courier, monospace;\">Chongxiede<\/span> est la translitt\u00e9ration pinyin chinoise du terme \u91cd\u5199\u00a0(ch\u00f3ng xi\u011b), traduit automatiquement par \u00ab\u00a0rewrite\u00a0\u00bb ou \u00ab\u00a0overwrite\u00a0\u00bb. La figure\u00a01 illustre le processus de d\u00e9chiffrement.<\/p>\n<figure id=\"attachment_158950\" aria-describedby=\"caption-attachment-158950\" style=\"width: 368px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158950 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-785607-158949-1.png\" alt=\"Image affichant un extrait de code informatique dans un \u00e9diteur de texte avec coloration syntaxique, impliquant des fonctions et variables en langage\u00a0C\/C++ li\u00e9es \u00e0 des processus de chiffrement.\" width=\"368\" height=\"282\" \/><figcaption id=\"caption-attachment-158950\" class=\"wp-caption-text\">Figure 1. Processus de d\u00e9chiffrement de la configuration de l\u2019implant BadIIS.<\/figcaption><\/figure>\n<h3><a id=\"post-158949-_heading=h.49japhl42nc1\"><\/a>Configuration de BadIIS et fonctionnement interne<\/h3>\n<p>La configuration initiale de l\u2019implant est la suivante\u00a0:<\/p>\n<ul>\n<li>Liste de mots-cl\u00e9s Referer\/User-Agent\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">google|yahoo|bing|viet|coccoc|timkhap|tuugo<\/span><\/li>\n<li>Premier serveur\u00a0C2\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.008php[.]com\/<\/span><\/li>\n<li>Second serveur\u00a0C2\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]26\/<\/span><\/li>\n<\/ul>\n<p>Ces \u00e9l\u00e9ments de configuration t\u00e9moignent d\u2019une strat\u00e9gie cibl\u00e9e. Si la liste de mots-cl\u00e9s inclut des moteurs de recherche g\u00e9n\u00e9raux et courants tels que Google et Bing, la pr\u00e9sence de services sp\u00e9cifiques \u00e0 certaines langues met en lumi\u00e8re les cibles privil\u00e9gi\u00e9es de l\u2019attaquant\u00a0:<\/p>\n<ul>\n<li>C\u1ed1c C\u1ed1c<\/li>\n<li>Timkhap<\/li>\n<li>viet<\/li>\n<\/ul>\n<p>Les deux premiers sont des moteurs de recherche vietnamiens, tandis que viet renvoie plus g\u00e9n\u00e9ralement aux requ\u00eates li\u00e9es au Vietnam. Ce ciblage pr\u00e9cis de l\u2019\u00e9cosyst\u00e8me num\u00e9rique vietnamien r\u00e9v\u00e8le une intention strat\u00e9gique claire de l\u2019acteur de la menace.<\/p>\n<p>Le module utilise cette configuration pour ex\u00e9cuter sa logique principale \u00e0 l\u2019ex\u00e9cution. Si l\u2019en-t\u00eate <span style=\"font-family: 'courier new', courier, monospace;\">User-Agent<\/span> de la requ\u00eate\u00a0HTTP correspond \u00e0 un mot-cl\u00e9 de la m\u00eame liste, le module identifie le visiteur comme un crawler et lance sa phase d\u2019empoisonnement. Il contacte alors le serveur\u00a0C2 pour r\u00e9cup\u00e9rer une page\u00a0HTML malveillante et optimis\u00e9e pour le SEO, qu\u2019il sert ensuite comme r\u00e9ponse.<\/p>\n<p>La figure\u00a02 illustre un payload r\u00e9el livr\u00e9 par le serveur\u00a0C2. Le payload contient le code\u00a0HTML malveillant ainsi qu\u2019une s\u00e9rie de liens con\u00e7us pour inciter le moteur de recherche \u00e0 les parcourir et \u00e0 les indexer.<\/p>\n<figure id=\"attachment_158961\" aria-describedby=\"caption-attachment-158961\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158961 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788352-158949-2.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une page web avec de multiples hyperliens en vietnamien.\" width=\"1000\" height=\"751\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788352-158949-2.png 1098w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788352-158949-2-586x440.png 586w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788352-158949-2-932x700.png 932w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788352-158949-2-768x577.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-158961\" class=\"wp-caption-text\">Figure 2. Payload SEO fourni par le C2 server.<\/figcaption><\/figure>\n<p>Le m\u00e9canisme construit d\u2019abord un leurre, puis tend le pi\u00e8ge. Le leurre est cr\u00e9\u00e9 lorsque les attaquants fournissent du contenu manipul\u00e9 aux crawlers des moteurs de recherche. Ainsi, le site compromis remonte dans les r\u00e9sultats pour des termes auxquels il n\u2019aurait normalement aucun lien.<\/p>\n<p>Le payload embarque de nombreux liens contenant des requ\u00eates vietnamiennes populaires (cf. figure\u00a02). Un exemple cl\u00e9 est la requ\u00eate \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">x\u00f4i l\u1ea1c tv tr\u1ef1c ti\u1ebfp b\u00f3ng \u0111\u00e1 h\u00f4m nay<\/span>\u00a0\u00bb, qui se traduit par \u00ab\u00a0x\u00f4i l\u1ea1c tv foot en direct aujourd\u2019hui\u00a0\u00bb, une recherche courante pour acc\u00e9der aux services ill\u00e9gaux de streaming de football.<\/p>\n<p>Positionner le serveur compromis sur ce terme permet aux attaquants de tirer parti de sa cr\u00e9dibilit\u00e9 et de sa r\u00e9putation. La figure\u00a03 montre un r\u00e9sultat de recherche Google pour cette cha\u00eene de mots, et montre qu\u2019une entit\u00e9 gouvernementale d\u2019Asie du Sud-Est a \u00e9t\u00e9 compromise pour diffuser du contenu frauduleux.<\/p>\n<figure id=\"attachment_158972\" aria-describedby=\"caption-attachment-158972\" style=\"width: 983px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158972 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-791849-158949-3.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un site web avec un titre en vietnamien, marqu\u00e9 par une fl\u00e8che pointant vers l\u2019URL (partiellement masqu\u00e9e). En arri\u00e8re-plan figurent un visuel sur le th\u00e8me du football et une publicit\u00e9 de casino.\" width=\"983\" height=\"297\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-791849-158949-3.png 983w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-791849-158949-3-786x237.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-791849-158949-3-768x232.png 768w\" sizes=\"(max-width: 983px) 100vw, 983px\" \/><figcaption id=\"caption-attachment-158972\" class=\"wp-caption-text\">Figure 3. Index Google d\u2019un r\u00e9f\u00e9rentiel gouvernemental compromis.<\/figcaption><\/figure>\n<p>Inversement, lorsque l\u2019en-t\u00eate\u00a0HTTP Referer d\u2019une requ\u00eate entrante contient l\u2019un des mots-cl\u00e9s de sa configuration, le module le marque comme une requ\u00eate \u00e9manant d\u2019un utilisateur r\u00e9el. Dans ce cas, il contacte un serveur\u00a0C2 et relaie directement son contenu vers le navigateur de la victime.<\/p>\n<p>La figure\u00a04 montre un payload r\u00e9ellement proxifi\u00e9 envoy\u00e9 par le C2\u00a0: cette image montre comment le serveur\u00a0web compromis redirige des visiteurs \u00e0 leur insu vers un site de paris.<\/p>\n<figure id=\"attachment_158983\" aria-describedby=\"caption-attachment-158983\" style=\"width: 737px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158983 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-794607-158949-4.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un \u00e9cran de chargement d\u2019un site de paris en ligne, affichant un indicateur de progression \u00e0 1\u00a0seconde, un texte en vietnamien indiquant \u00ab\u00a0Chargement, veuillez patienter\u2026\u00a0\u00bb et sa traduction en anglais \u00ab\u00a0Loading, please wait patiently\u00a0\u00bb. Un bouton intitul\u00e9 \u00ab\u00a0Entering page\u00a0\u00bb appara\u00eet en dessous.\" width=\"737\" height=\"621\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-794607-158949-4.png 737w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-794607-158949-4-522x440.png 522w\" sizes=\"(max-width: 737px) 100vw, 737px\" \/><figcaption id=\"caption-attachment-158983\" class=\"wp-caption-text\">Figure 4. Payload du serveur CnC : une page de chargement qui redirige les visiteurs vers un site de paris.<\/figcaption><\/figure>\n<h3><a id=\"post-158949-_heading=h.29enoo9ur6n7\"><\/a>\u00c9chantillons suppl\u00e9mentaires et infrastructure<\/h3>\n<p>Un indice majeur quant \u00e0 la fonctionnalit\u00e9 et \u00e0 l\u2019origine probable de l\u2019implant se trouve dans le nom de sa classe\u00a0C++\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span>. Comme indiqu\u00e9 plus haut, Chongxiede est la translitt\u00e9ration pinyin chinoise du terme \u91cd\u5199\u00a0(ch\u00f3ng xi\u011b), traduit automatiquement par \u00ab\u00a0rewrite\u00a0\u00bb ou \u00ab\u00a0overwrite\u00a0\u00bb. Cet artefact linguistique a constitu\u00e9 un point d\u2019appui important dans notre enqu\u00eate et nous a permis d\u2019\u00e9largir nos recherches, conduisant \u00e0 la d\u00e9couverte d\u2019autres \u00e9chantillons et d\u2019activit\u00e9s malveillantes li\u00e9es \u00e0 l\u2019infrastructure.<\/p>\n<p>Nous avons mis au jour une s\u00e9rie de modules\u00a0IIS natifs apparent\u00e9s partageant les m\u00eames enregistrements de gestionnaires et la m\u00eame logique d\u2019initialisation. Plusieurs de ces nouveaux \u00e9chantillons r\u00e9f\u00e9rencent des domaines\u00a0C2 familiers, variantes de la famille de domaines <span style=\"font-family: 'courier new', courier, monospace;\">008php[.]com<\/span>, tandis que d\u2019autres introduisent une infrastructure jusque-l\u00e0 in\u00e9dite. La figure\u00a05 montre l\u2019infrastructure et les connexions entre ces \u00e9chantillons.<\/p>\n<figure id=\"attachment_158994\" aria-describedby=\"caption-attachment-158994\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158994 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-797312-158949-5.png\" alt=\"Diagramme montrant un r\u00e9seau de domaines connect\u00e9s, avec un n\u0153ud central \u00e9tiquet\u00e9 et entour\u00e9 de divers n\u0153uds li\u00e9s portant des noms de domaines num\u00e9riques et alphab\u00e9tiques. Les n\u0153uds sont reli\u00e9s \u00e0 des malwares repr\u00e9sent\u00e9s par des ic\u00f4nes de bugs contenant des cr\u00e2nes.\" width=\"1000\" height=\"886\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-797312-158949-5.png 1309w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-797312-158949-5-497x440.png 497w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-797312-158949-5-790x700.png 790w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-797312-158949-5-768x681.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-158994\" class=\"wp-caption-text\">Figure 5. Nouveaux \u00e9chantillons BadIIS et infrastructure associ\u00e9e.<\/figcaption><\/figure>\n<p>Nous avons analys\u00e9 ces \u00e9chantillons li\u00e9s, puis extrait et d\u00e9chiffr\u00e9 leurs configurations int\u00e9gr\u00e9es. Cette analyse a r\u00e9v\u00e9l\u00e9 un r\u00e9seau plus large de serveurs\u00a0C2 et d\u2019URL qui n\u2019\u00e9taient pas auparavant associ\u00e9s \u00e0 cette campagne. L\u2019examen de cette infrastructure nouvellement d\u00e9couverte a permis d\u2019identifier trois variantes suppl\u00e9mentaires, illustrant l\u2019\u00e9largissement de l\u2019arsenal de l\u2019acteur de la menace et des capacit\u00e9s d\u00e9passant le cadre du module\u00a0IIS natif.<\/p>\n<p>En raison de l\u2019importance des informations obtenues \u00e0 partir de cet artefact linguistique, nous avons nomm\u00e9 cette campagne \u00ab\u00a0Operation Rewrite\u00a0\u00bb.<\/p>\n<h2><a id=\"post-158949-_heading=h.6fqfwqtlr7b\"><\/a>Trois nouvelles variantes du module\u00a0BadIIS<\/h2>\n<h3><a id=\"post-158949-_heading=h.hex94nn8e8bf\"><\/a>Premi\u00e8re variante\u00a0: passerelle\u00a0ASP.NET<\/h3>\n<p>La premi\u00e8re variante que nous avons d\u00e9couverte n\u2019est pas un module natif, mais un simple gestionnaire de page\u00a0ASP.NET. Cette variante script\u00e9e impl\u00e9mente une technique diff\u00e9rente pour atteindre le m\u00eame objectif d\u2019empoisonnement\u00a0SEO que le module\u00a0BadIIS principal.<\/p>\n<p>Plut\u00f4t que de se greffer directement au pipeline\u00a0IIS, la page\u00a0ASP.NET contient toute la logique malveillante dans son \u00e9v\u00e9nement\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Page_Load<\/span>. Lorsqu\u2019une victime demande cette page au serveur, celle-ci v\u00e9rifie l\u2019en-t\u00eate\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">HTTP_REFERER<\/span> du visiteur afin d\u2019identifier et de rediriger le trafic issu des moteurs de recherche, masquant ainsi son v\u00e9ritable but. Pour le reste du trafic, elle agit comme une passerelle, en proxifiant le contenu malveillant provenant d\u2019un serveur\u00a0C2 distant.<\/p>\n<p>Il s\u2019agit d\u2019une alternative au module\u00a0BadIIS principal, plus l\u00e9g\u00e8re et flexible, probablement destin\u00e9e \u00e0 un d\u00e9ploiement rapide sur des serveurs compromis moins critiques. La figure\u00a06 pr\u00e9sente la fonction\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Page_Load<\/span> de la variante\u00a0ASP.NET.<\/p>\n<figure id=\"attachment_159005\" aria-describedby=\"caption-attachment-159005\" style=\"width: 671px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159005 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-800818-158949-6.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un extrait de code orient\u00e9 gestion des r\u00e9f\u00e9rences\u00a0Twitter et redirection du trafic\u00a0web en fonction des en-t\u00eates \u00ab\u00a0User-Agent\u00a0\u00bb et \u00ab\u00a0Referer\u00a0\u00bb.\" width=\"671\" height=\"638\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-800818-158949-6.png 671w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-800818-158949-6-463x440.png 463w\" sizes=\"(max-width: 671px) 100vw, 671px\" \/><figcaption id=\"caption-attachment-159005\" class=\"wp-caption-text\">Figure 6. Extrait de la fonction <span style=\"font-family: 'courier new', courier, monospace;\">Page_Load<\/span> de la variante ASP.NET.<\/figcaption><\/figure>\n<h3><a id=\"post-158949-_heading=h.vrxds4oy15ja\"><\/a>Deuxi\u00e8me variante\u00a0: module\u00a0IIS manag\u00e9<\/h3>\n<p>La deuxi\u00e8me variante atteint le m\u00eame objectif que le module\u00a0IIS natif, mais elle est impl\u00e9ment\u00e9e en tant que module\u00a0IIS manag\u00e9 en\u00a0.NET. Cette version en C# s\u2019appuie sur l\u2019int\u00e9gration\u00a0d\u2019ASP.NET au sein d\u2019IIS et se branche dans le pipeline de requ\u00eates du serveur, ce qui lui permet d\u2019inspecter et de modifier chaque requ\u00eate transitant par l\u2019application.<\/p>\n<p>Ce module r\u00e9alise l\u2019empoisonnement\u00a0SEO via deux fonctions principales\u00a0:<\/p>\n<ul>\n<li><strong>D\u00e9tournement des erreurs\u00a0404\u00a0:<\/strong> le module intercepte les erreurs\u00a0404 lorsqu\u2019un crawler explore un lien inexistant contenant des mots-cl\u00e9s issus d\u2019une liste cod\u00e9e en dur. Il sert alors une page d\u2019arnaque personnalis\u00e9e provenant d\u2019un serveur\u00a0C2, conduisant les moteurs de recherche \u00e0 indexer le contenu de l\u2019attaquant sous le domaine de confiance de la victime.<\/li>\n<li><strong>Injection de contenu dynamique\u00a0:<\/strong> lorsque le module d\u00e9tecte qu\u2019un crawler consulte une page r\u00e9elle renvoyant un code <span style=\"font-family: 'courier new', courier, monospace;\">200\u00a0OK<\/span>, il injecte dynamiquement des liens spam et des mots-cl\u00e9s fournis par un autre serveur\u00a0C2. Cette action modifie le classement de la page dans les r\u00e9sultats de recherche sans alt\u00e9rer le contenu visible par les utilisateurs ordinaires.<\/li>\n<\/ul>\n<h3><a id=\"post-158949-_heading=h.v6nfprsci2nk\"><\/a>Troisi\u00e8me variante\u00a0: script\u00a0PHP tout-en-un<\/h3>\n<p>La troisi\u00e8me variante est un script\u00a0PHP qui combine redirection d\u2019utilisateurs et empoisonnement\u00a0SEO dynamique. Plut\u00f4t que de s\u2019int\u00e9grer \u00e0 IIS, ce script fonctionne comme un contr\u00f4leur frontal\u00a0PHP autonome. Il effectue des v\u00e9rifications simples sur le Referer, le User-Agent et les mod\u00e8les d\u2019URL pour d\u00e9terminer pr\u00e9cis\u00e9ment quel contenu servir.<\/p>\n<ul>\n<li><strong>V\u00e9rification des requ\u00eates mobiles <\/strong><\/li>\n<\/ul>\n<p>Pour les visiteurs provenant d\u2019une recherche\u00a0Google sur un appareil mobile, le script effectue une v\u00e9rification suppl\u00e9mentaire. Si le chemin de l\u2019URL demand\u00e9e contient un mot-cl\u00e9 issu d\u2019une liste cod\u00e9e en dur (par exemple \u00ab\u00a0game\u00a0\u00bb ou \u00ab\u00a0video\u00a0\u00bb), il agit en tant que proxy\u00a0: le script contacte silencieusement une URL\u00a0C2 cod\u00e9e en dur, r\u00e9cup\u00e8re le contenu, puis le sert directement \u00e0 la victime, qui ne se rend pas compte de la substitution.<\/p>\n<ul>\n<li><strong>Empoisonnement SEO cibl\u00e9 sur Googlebot<\/strong><\/li>\n<\/ul>\n<p>Lorsque le script d\u00e9tecte Googlebot, il lance un processus en deux \u00e9tapes pour empoisonner le r\u00e9f\u00e9rencement du site\u00a0:<\/p>\n<ul>\n<li><strong>G\u00e9n\u00e9rateur de sitemap\u00a0:<\/strong> d\u2019abord, le script r\u00e9cup\u00e8re depuis le C2 une liste de noms de pages et la pr\u00e9sente \u00e0 Googlebot sous la forme d\u2019un sitemap\u00a0XML valide, jonch\u00e9 de fausses URL.<\/li>\n<li><strong>R\u00e9\u00e9criture de contenu\u00a0:<\/strong> lorsque le script d\u00e9tecte Googlebot, la deuxi\u00e8me \u00e9tape s\u2019active et le script ex\u00e9cute une fonction de r\u00e9\u00e9criture de contenu. Il r\u00e9cup\u00e8re un mod\u00e8le\u00a0HTML depuis un autre C2 et injecte les mots-cl\u00e9s extraits de l\u2019URL dans le titre et les en-t\u00eates de la page. Le r\u00e9sultat est une page de spam optimis\u00e9e, con\u00e7ue pour obtenir un classement \u00e9lev\u00e9 dans les r\u00e9sultats de recherche.<\/li>\n<\/ul>\n<h2><a id=\"post-158949-_heading=h.cwkvkydkjfi9\"><\/a>Origine des acteurs de la menace<\/h2>\n<p>Nous avons analys\u00e9 des indices linguistiques ainsi que des recoupements au niveau de l\u2019infrastructure afin de d\u00e9terminer l\u2019origine des acteurs de la menace derri\u00e8re CL-UNK-1037. Nous attribuons ce cluster d\u2019activit\u00e9, avec un haut niveau de confiance, \u00e0 des attaquants sinophones. De plus, nous le relions, avec un niveau de confiance mod\u00e9r\u00e9, au groupe Group\u00a09, et avec un faible niveau de confiance \u00e0 la campagne\u00a0DragonRank.<\/p>\n<h3><a id=\"post-158949-_heading=h.atwws5p905v0\"><\/a>Des acteurs de la menace sinophones<\/h3>\n<p>Plusieurs artefacts sugg\u00e8rent l\u2019implication d\u2019un acteur de la menace sinophone. Comme indiqu\u00e9 pr\u00e9c\u00e9demment, le nom de l\u2019objet natif <span style=\"font-family: 'courier new', courier, monospace;\">chongxiede<\/span> est un terme en pinyin. La variante\u00a0PHP a r\u00e9v\u00e9l\u00e9 d\u2019autres indices linguistiques\u00a0: de nombreux commentaires de code r\u00e9dig\u00e9s en caract\u00e8res chinois simplifi\u00e9s.<\/p>\n<p>La figure\u00a07 pr\u00e9sente ces commentaires extraits de la variante\u00a0PHP, accompagn\u00e9s de leurs traductions en anglais.<\/p>\n<figure id=\"attachment_159016\" aria-describedby=\"caption-attachment-159016\" style=\"width: 708px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159016 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-803549-158949-7.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un script v\u00e9rifiant l\u2019en-t\u00eate\u00a0HTTP \u00ab\u00a0Referer\u00a0\u00bb et le \u00ab\u00a0User-Agent\u00a0\u00bb pour identifier les appareils mobiles et rediriger selon des conditions sp\u00e9cifiques. Quatre sections sont surlign\u00e9es en rouge. \" width=\"708\" height=\"933\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-803549-158949-7.png 708w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-803549-158949-7-334x440.png 334w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-803549-158949-7-531x700.png 531w\" sizes=\"(max-width: 708px) 100vw, 708px\" \/><figcaption id=\"caption-attachment-159016\" class=\"wp-caption-text\">Figure 7. D\u00e9but de la variante PHP.<\/figcaption><\/figure>\n<h3><a id=\"post-158949-_heading=h.vi4mruaiplr\"><\/a>Conception du code et recoupements d\u2019infrastructure avec Group\u00a09<\/h3>\n<p>L\u2019architecture interne de BadIIS pr\u00e9sente des similitudes avec des variantes pr\u00e9c\u00e9demment utilis\u00e9es par Group\u00a09, telles que d\u00e9crites par ESET dans son livre blanc. Citons notamment\u00a0:<\/p>\n<ul>\n<li>l\u2019utilisation de la fonction\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">RegisterModule<\/span> pour initialiser les composants du module\u00a0;<\/li>\n<li>l\u2019utilisation des gestionnaires\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">OnBeginRequest<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">OnSendResponse<\/span> pour intercepter et modifier le trafic\u00a0web.<\/li>\n<\/ul>\n<p>Ces similitudes sugg\u00e8rent que les attaquants d\u00e9veloppent leurs implants \u00e0 partir d\u2019une base de code ou d\u2019un mod\u00e8le de conception commun.<\/p>\n<p>Le recoupement direct de l\u2019infrastructure\u00a0C2 \u00e0 travers trois domaines distincts renforce le lien avec Group\u00a09. Les serveurs\u00a0C2 cod\u00e9s en dur dans les \u00e9chantillons\u00a0BadIIS incluaient\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">404.008php[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">404.yyphw[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">404.300bt[.]com<\/span><\/li>\n<\/ul>\n<p>Ces serveurs correspondent directement \u00e0 des domaines utilis\u00e9s par Group\u00a09. Plus pr\u00e9cis\u00e9ment, ESET a observ\u00e9 que Group\u00a09 utilisait les sous-domaines suivants\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">qp.008php[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcp.yyphw[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sc.300bt[.]com<\/span><\/li>\n<\/ul>\n<p>La figure\u00a08 montre ces recoupements d\u2019infrastructure.<\/p>\n<figure id=\"attachment_159027\" aria-describedby=\"caption-attachment-159027\" style=\"width: 889px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159027 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-806443-158949-8.png\" alt=\"Diagramme montrant l\u2019infrastructure du groupe d\u2019activit\u00e9 nomm\u00e9 CL-UNK-1037 par PANW (en haut), reli\u00e9e vers le bas \u00e0 onze n\u0153uds qui se connectent ensuite \u00e0 un n\u0153ud \u00e9tiquet\u00e9 \u00ab\u00a0Group\u00a09\u00a0\u00bb (en bas). Chaque n\u0153ud est repr\u00e9sent\u00e9 par un cercle contenant une ic\u00f4ne d\u2019engrenage \u00e0 six dents.\" width=\"889\" height=\"909\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-806443-158949-8.png 889w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-806443-158949-8-430x440.png 430w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-806443-158949-8-685x700.png 685w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-806443-158949-8-768x785.png 768w\" sizes=\"(max-width: 889px) 100vw, 889px\" \/><figcaption id=\"caption-attachment-159027\" class=\"wp-caption-text\">Figure 8. Recoupements d\u2019infrastructure entre les nouveaux \u00e9chantillons et Group 9.<\/figcaption><\/figure>\n<h3><a id=\"post-158949-_heading=h.6vjqxs9nc9gf\"><\/a>Lien possible avec DragonRank<\/h3>\n<p>En plus des connexions directes avec Group\u00a09, nous avons observ\u00e9 plusieurs similitudes avec la campagne\u00a0DragonRank. Comme le d\u00e9taille <a href=\"https:\/\/blog.talosintelligence.com\/dragon-rank-seo-poisoning\/\" target=\"_blank\" rel=\"noopener\">l\u2019article de Cisco Talos<\/a>, DragonRank est attribu\u00e9e \u00e0 un acteur de la menace sinophone pr\u00e9sentant des similitudes avec Group\u00a09 d\u00e9crit par ESET.<\/p>\n<p>Bien que nous n\u2019ayons identifi\u00e9 aucun recoupement d\u2019infrastructure entre CL-UNK-1037 et la campagne\u00a0DragonRank, nous avons observ\u00e9 les similitudes suivantes\u00a0:<\/p>\n<ul>\n<li><strong>Ensemble d\u2019outils\u00a0:<\/strong> fonctionnalit\u00e9s principales et logique d\u2019ex\u00e9cution du malware similaires, bien que les mises en \u0153uvre diff\u00e8rent. Les deux variantes se pr\u00e9sentent comme des outils de SEO et de proxy.<\/li>\n<li><strong>Structure d\u2019URI\u00a0:<\/strong> un motif r\u00e9current, \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">zz<\/span>\u00a0\u00bb, appara\u00eet dans les URL\u00a0C2. M\u00eame si ce motif est utilis\u00e9 diff\u00e9remment dans chaque campagne, nous estimons qu\u2019il pourrait refl\u00e9ter une \u00e9volution ou une mise \u00e0 jour progressive de l\u2019arsenal.<\/li>\n<\/ul>\n<h2><a id=\"post-158949-_heading=h.cl64kwdsvye1\"><\/a>Conclusion<\/h2>\n<p>Notre enqu\u00eate sur une campagne d\u2019empoisonnement\u00a0SEO a r\u00e9v\u00e9l\u00e9 l\u2019activit\u00e9 d\u2019un acteur de la menace sinophone utilisant un arsenal d\u2019implants personnalis\u00e9s. L\u2019ensemble de ces implants est con\u00e7u pour manipuler les r\u00e9sultats des moteurs de recherche et contr\u00f4ler les flux de trafic.<\/p>\n<p>Nous estimons avec un haut niveau de confiance qu\u2019un acteur de la menace sinophone est \u00e0 l\u2019origine de cette activit\u00e9, sur la base d\u2019indices linguistiques directs, ainsi que de recoupements d\u2019infrastructure et d\u2019architecture reliant cet acteur au cluster Group\u00a09. Nos recherches ont \u00e9galement mis en \u00e9vidence plusieurs similitudes avec la campagne\u00a0DragonRank.<\/p>\n<p>Les \u00e9quipes de s\u00e9curit\u00e9 et les \u00e9quipes r\u00e9seau peuvent tirer parti de l\u2019analyse et des indicateurs pr\u00e9sent\u00e9s dans ce rapport pour am\u00e9liorer leurs capacit\u00e9s de d\u00e9tection et de chasse aux menaces, et ainsi renforcer leur protection face \u00e0 ce type d\u2019attaques et \u00e0 des menaces similaires.<\/p>\n<h3><a id=\"post-158949-_heading=h.fhlb41pd2184\"><\/a>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/h3>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0URL\u00a0Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\">Advanced\u00a0DNS\u00a0Security<\/a> permettent d\u2019identifier les domaines et URL associ\u00e9s \u00e0 cette activit\u00e9 comme \u00e9tant malveillants.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> pr\u00e9vient les menaces d\u00e9crites dans ce blog gr\u00e2ce \u00e0 son moteur de pr\u00e9vention des malwares. Cette approche combine plusieurs couches de protection, dont <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a>, la protection comportementale contre les menaces et le module Local\u00a0Analysis afin de bloquer les malwares \u2013\u00a0connus ou non\u00a0\u2013 avant qu\u2019ils ne puissent impacter les terminaux.<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-158949-_heading=h.gohj4k8t42l2\"><\/a>Indicateurs de compromission<\/h2>\n<p>Empreintes\u00a0SHA256 des implants\u00a0BadIIS\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01a616e25f1ac661a7a9c244fd31736188ceb5fce8c1a5738e807fdbef70fd60<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bc3bba91572379e81919b9e4d2cbe3b0aa658a97af116e2385b99b610c22c08c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5aa684e90dd0b85f41383efe89dddb2d43ecbdaf9c1d52c40a2fdf037fb40138<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c5455c43f6a295392cf7db66c68f8c725029f88e089ed01e3de858a114f0764f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">82096c2716a4de687b3a09b638e39cc7c12959bf380610d5f8f9ac9cddab64d7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ed68c5a8c937cd55406c152ae4a2780bf39647f8724029f04e1dce136eb358ea<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6d79b32927bac8020d25aa326ddf44e7d78600714beacd473238cc0d9b5d1ccf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b95a1619d1ca37d652599b0b0a6188174c71147e9dc7fb4253959bd64c4c1e9f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8078fa156f5ab8be073ad3f616a2302f719713aac0f62599916c5084dd326060<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a73c7f833a83025936c52a8f217c9793072d91346bb321552f3214efdeef59eb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6d044b27cd3418bf949b3db131286c8f877a56d08c3bbb0924baf862a6d13b27<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">78ef67ec600045b7deb8b8ac747845119262bea1d51b2332469b1f769fb0b67d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">78ef67ec600045b7deb8b8ac747845119262bea1d51b2332469b1f769fb0b67d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">88de33754e96cfa883d737aea7231666c4e6d058e591ef3b566f5c13a88c0b56<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a393b62df62f10c5c16dd98248ee14ca92982e7ac54cb3e1c83124c3623c8c43<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">40a0d0ee76b72202b63301a64c948acb3a4da8bac4671c7b7014a6f1e7841bd2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">40a0d0ee76b72202b63301a64c948acb3a4da8bac4671c7b7014a6f1e7841bd2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1c870ee30042b1f6387cda8527c2a9cf6791195e63c5126d786f807239bd0ddc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">271c1ddfdfb6ba82c133d1e0aac3981b2c399f16578fcf706f5e332703864656<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">22a9e1675bd8b8d64516bd4be1f07754c8f4ad6c59a965d0e009cbeaca6147a7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e2e00fd57d177e4c90c1e6a973cae488782f73378224f54cf1284d69a88b6805<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23aa7c29d1370d31f2631abd7df4c260b85227a433ab3c7d77e8f2d87589948f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ab0b548931e3e07d466ae8598ca9cd8b10409ab23d471a7124e2e67706a314e8<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">22a4f8aead6aef38b0dc26461813499c19c6d9165d375f85fb872cd7d9eba5f9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">de570369194da3808ab3c3de8fb7ba2aac1cc67680ebdc75348b309e9a290d37<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d8a7320e2056daf3ef4d479ff1bb5ce4facda67dfc705e8729aeca78d6f9ca84<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d6a0763f6ef19def8a248c875fd4a5ea914737e3914641ef343fe1e51b04f858<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c6622e2900b8112e8157f923e9fcbd48889717adfe1104e07eb253f2e90d2c6a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6cff06789bf27407aa420e73123d4892a8f15cae9885ff88749fd21aa6d0e8ad<\/span><\/li>\n<\/ul>\n<p>Gestionnaire de fichiers\u00a0ASPX \u2013\u00a0empreinte\u00a0SHA256\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b056197f093cd036fa509609d80ece307864806f52ab962901939b45718c18a8<\/span><\/li>\n<\/ul>\n<p>Module\u00a0IIS manag\u00e9 \u2013\u00a0empreinte\u00a0SHA256\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2af61e5acc4ca390d3bd43bc649ab30951ed7b4e36d58a05f5003d92fde5e9a7<\/span><\/li>\n<\/ul>\n<p>Gestionnaire de fichiers\u00a0PHP \u2013\u00a0empreinte\u00a0SHA256\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">36bf18c3edd773072d412f4681fb25b1512d0d8a00aac36514cd6c48d80be71b<\/span><\/li>\n<\/ul>\n<p>URLs C2\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]26\/xvn.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/x404.008php[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]78\/vn.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/x404.008php[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]78\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]78\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/cs.pyhycy[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/cs.pyhycy[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/sl.008php[.]com\/kt.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/160.30.173[.]87\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.pyhycy[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.pyhycy[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hao563[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.300bt[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.yyphw[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.6.235[.]26\/kt.html<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.yyphw[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hzyzn[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hzyzn[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.300bt[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.248.20[.]197\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/103.248.20[.]197\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/fb88s[.]icu\/uu\/tt.js<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.hao563[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/www.massnetworks[.]org<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/vn404.008php[.]com\/index.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/vn404.008php[.]com\/zz\/u.php<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/404.008php[.]com\/zz\/u.php<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-158949-_heading=h.o5z0vbjulyrs\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/web-assets.esetstatic.com\/wls\/2021\/08\/eset_anatomy_native_iis_malware.pdf\" target=\"_blank\" rel=\"noopener\">ANATOMY OF NATIVE IIS MALWARE<\/a> \u2013 Eset<\/li>\n<li><a href=\"https:\/\/blog.talosintelligence.com\/dragon-rank-seo-poisoning\/\" target=\"_blank\" rel=\"noopener\">DragonRank, a Chinese-speaking SEO manipulator service provider<\/a> \u2013 Talos, Cisco<\/li>\n<li><a href=\"https:\/\/sec.vnpt.vn\/2024\/09\/part-2-hacker-thuc-hien-black-hat-seo-cac-trang-web-bat-hop-phap-bang-tan-cong-redirect-nhu-the-nao\" target=\"_blank\" rel=\"noopener\">Hacker th\u1ef1c hi\u1ec7n Black Hat SEO c\u00e1c trang web b\u1ea5t h\u1ee3p ph\u00e1p b\u1eb1ng t\u1ea5n c\u00f4ng Redirect nh\u01b0 th\u1ebf n\u00e0o ?<\/a> \u2013 VNPT<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La campagne d'empoisonnement du SEO \u00ab Op\u00e9ration Rewrite \u00bb utilise un module IIS malveillant, nomm\u00e9 BadIIS, pour rediriger les utilisateurs vers des sites web ind\u00e9sirables.<\/p>\n","protected":false},"author":366,"featured_media":158094,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8832],"tags":[9635,9442,9468],"product_categories":[8979,8955,9041,9053,9151],"coauthors":[8509],"class_list":["post-158949","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-threat-research-fr","tag-cl-unk-1037-fr","tag-seo-poisoning-fr","tag-web-shells-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO<\/title>\n<meta name=\"description\" content=\"La campagne d&#039;empoisonnement du SEO \u00ab Op\u00e9ration Rewrite \u00bb utilise un module IIS malveillant, nomm\u00e9 BadIIS, pour rediriger les utilisateurs vers des sites web ind\u00e9sirables.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO\" \/>\n<meta property=\"og:description\" content=\"La campagne d&#039;empoisonnement du SEO \u00ab Op\u00e9ration Rewrite \u00bb utilise un module IIS malveillant, nomm\u00e9 BadIIS, pour rediriger les utilisateurs vers des sites web ind\u00e9sirables.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-22T16:56:58+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-25T17:31:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Yoav Zemah\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO","description":"La campagne d'empoisonnement du SEO \u00ab Op\u00e9ration Rewrite \u00bb utilise un module IIS malveillant, nomm\u00e9 BadIIS, pour rediriger les utilisateurs vers des sites web ind\u00e9sirables.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/","og_locale":"fr_FR","og_type":"article","og_title":"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO","og_description":"La campagne d'empoisonnement du SEO \u00ab Op\u00e9ration Rewrite \u00bb utilise un module IIS malveillant, nomm\u00e9 BadIIS, pour rediriger les utilisateurs vers des sites web ind\u00e9sirables.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/","og_site_name":"Unit 42","article_published_time":"2025-09-22T16:56:58+00:00","article_modified_time":"2025-09-25T17:31:14+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","type":"image\/jpeg"}],"author":"Yoav Zemah","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO","datePublished":"2025-09-22T16:56:58+00:00","dateModified":"2025-09-25T17:31:14+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/"},"wordCount":4630,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","keywords":["CL-UNK-1037","SEO poisoning","web shells"],"articleSection":["Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/","name":"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","datePublished":"2025-09-22T16:56:58+00:00","dateModified":"2025-09-25T17:31:14+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"La campagne d'empoisonnement du SEO \u00ab Op\u00e9ration Rewrite \u00bb utilise un module IIS malveillant, nomm\u00e9 BadIIS, pour rediriger les utilisateurs vers des sites web ind\u00e9sirables.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Nation-State-cyberattacks_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of a wide-scale SEO poisoning campaign. A digital illustration of a world map in a network style, highlighting continents with glowing lines and connectivity points in a red and blue theme."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/operation-rewrite-seo-poisoning-campaign\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"\u00ab\u00a0Op\u00e9ration Rewrite\u00a0\u00bb\u00a0: des acteurs de la menace sinophones d\u00e9ploient BadIIS dans le cadre d\u2019une vaste campagne d\u2019empoisonnement\u00a0SEO"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=158949"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158949\/revisions"}],"predecessor-version":[{"id":159038,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158949\/revisions\/159038"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/158094"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=158949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=158949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=158949"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=158949"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=158949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}