Introdução
Em novembro de 2025, a Elastic Security Labs observou uma intrusão que afetou uma organização multinacional com sede no Sudeste Asiático. Durante a análise dessa atividade, nossa equipe observou diversas técnicas e ferramentas pós-comprometimento utilizadas para implantar o malware BADIIS em um servidor web Windows. Essas observações estão em consonância com os relatórios anteriores da Cisco Talos e da Trend Micro do ano passado.
Este grupo de ameaças acumulou mais vítimas e está coordenando uma operação de envenenamento de SEO em larga escala a partir de países de todo o mundo. Nossa análise da campanha indica uma infraestrutura complexa e com segmentação geográfica, projetada para monetizar servidores comprometidos, redirecionando usuários para uma ampla rede de sites ilícitos, como plataformas de jogos de azar online e esquemas de criptomoedas.
Principais conclusões
- A Elastic Security Labs observou campanhas de envenenamento de SEO em larga escala, direcionadas a servidores IIS com o malware BADIIS, afetando mais de 1.800 servidores Windows em todo o mundo.
- Servidores comprometidos são monetizados por meio de uma rede de infraestrutura usada para direcionar anúncios de jogos de azar e outros sites ilícitos aos usuários.
- A infraestrutura afetada inclui governos, diversas organizações corporativas e instituições de ensino da Austrália, Bangladesh, Brasil, China, Índia, Japão, Coreia, Lituânia, Nepal e Vietnã.
- Essa atividade corresponde ao grupo de ameaças UAT-8099, identificado pela Cisco Talos em outubro passado, e está em consonância com relatórios anteriores da Trend Micro.
Visão geral da campanha
REF4033 é um grupo de cibercriminosos de língua chinesa responsável por uma campanha massiva e coordenada de envenenamento de SEO que comprometeu mais de 1.800 servidores web Windows em todo o mundo, utilizando um módulo malicioso do IIS chamado BADIIS.
A campanha opera através de um processo de duas fases:
- Primeiro, ele fornece HTML repleto de palavras-chave para os rastreadores de mecanismos de busca, a fim de contaminar os resultados da pesquisa, e
- Em seguida, redireciona as vítimas para uma vasta "economia do vício" composta por plataformas de jogos de azar ilícitos, pornografia e sofisticados sites de phishing de criptomoedas, como um clone fraudulento da corretora Upbit.
Ao implantar o malware BADIIS, um módulo malicioso do IIS que se integra diretamente ao pipeline de processamento de requisições de um servidor web, o grupo sequestra os servidores web de domínios legítimos governamentais, educacionais e corporativos. Essa infraestrutura de alta reputação é usada para manipular os rankings dos mecanismos de busca, permitindo assim que invasores interceptem o tráfego da web e facilitem fraudes financeiras em larga escala.
Atividade de intrusão
Em novembro de 2025, o Elastic Security Labs observou atividade pós-comprometimento em um servidor Windows IIS proveniente de um vetor de ataque desconhecido. Este agente de ameaça agiu rapidamente, progredindo do acesso inicial à implantação do módulo IIS em menos de 17 minutos. A enumeração inicial foi realizada por meio de um webshell executado no processo de trabalho do IIS (w3wp.exe). O atacante realizou uma descoberta inicial e, em seguida, criou uma nova conta de usuário.
Pouco depois da conta ter sido criada e adicionada ao grupo Administradores, o Elastic Defend gerou vários alertas relacionados a um serviço do Windows recém-criado, WalletServiceInfo. O serviço carregou uma ServiceDLL não assinada (C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.dll) e, posteriormente, executou chamadas de sistema diretas do módulo.
Em seguida, vimos o agente da ameaça reforçar seu acesso usando um programa chamado D-Shield Firewall. Este software fornece recursos de segurança adicionais para servidores IIS, incluindo proteções preventivas e a capacidade de adicionar restrições de rede. Para prosseguir com a investigação, usamos o imphash observado (1e4b23eee1b96b0cc705da1e7fb9e2f3) do carregador (C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.exe) para obter uma amostra do carregador do VirusTotal para nossa análise.
Para coletar uma amostra da DLL maliciosa usada por este carregador, realizamos uma pesquisa no VirusTotal pelo nome (CbsMsgApi.dll). Encontramos 7 amostras enviadas usando o mesmo nome de arquivo. O grupo responsável por isso parece estar usando uma base de código semelhante desde setembro de 2024. A maioria dessas amostras utiliza o VMProtect, uma estrutura comercial de ofuscação de código, para dificultar a análise estática e dinâmica. Felizmente, utilizamos uma amostra mais antiga e não protegida para obter informações adicionais sobre essa cadeia de ataque.
Análise de código - CbsMsgApi.exe
O grupo utiliza um fluxo de trabalho de ataque que requer diversos arquivos preparados pelo atacante para implantar o módulo malicioso do IIS. A cadeia de execução começa com o executável PE, CbsMsgApi.exe. Este arquivo contém strings em chinês simplificado, incluindo a string PDB (C:\Users\Administrator\Desktop\替换配置文件\w3wpservice-svchost\x64\Release\CbsMsgApi.pdb).
Após a inicialização, este programa cria um serviço do Windows, WalletServiceinfo, que configura uma ServiceDLL (CbsMsgApi.dll) que é executada sob svchost.exe, semelhante a esta técnica de persistência.
Este serviço recém-criado foca-se na discrição e na proteção contra adulteração, modificando o descritor de segurança do serviço com a seguinte linha de comando:
sc sdset "WalletServiceInfo" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Análise de código - CbsMsgApi.dll
O principal componente desta sequência de ataque é o ServiceDLL (CbsMsgApi.dll). A DLL maliciosa prepara os módulos nativos BADIIS do IIS e altera a configuração do IIS para carregá-los no pipeline de requisições do DefaultAppPool.
Durante este ataque, o agente malicioso insere três arquivos disfarçados dentro da pasta System32\drivers :
C:\Windows\System32\drivers\WUDFPfprot.sysC:\Windows\System32\drivers\WppRecorderpo.sysC:\Windows\System32\drivers\WppRecorderrt.sys
Dois desses arquivos (WppRecorderrt.sys, WppRecorderpo.sys) representam os módulos BADIIS maliciosos de 32 bits / 64 bits. O outro arquivo (WUDFPfprot.sys) representa elementos de configuração que serão injetados na configuração existente do IIS. Abaixo, segue um exemplo de configuração utilizada durante nossa análise. Merece destaque o nome do módulo WsmRes64 (mais informações sobre esta DLL são detalhadas na seção Análise de Módulos do IIS (WsmRes32.dll / WsmRes64.dll) abaixo):
<globalModules>
<add name="WsmRes64" image="C:\Windows\Microsoft.NET\Framework\WsmRes64.dll" preCondition="bitness64" />
</globalModules>
<modules>
<add name="WsmRes64" preCondition="bitness64" />
</modules>O malware usa a função CopyFileA para mover o conteúdo dos arquivos mascarados para o diretório .NET (C:\Windows\Microsoft.NET\Framework).
Em seguida, o malware analisa o arquivo DefaultAppPool.config , examinando cada nó para atualizar os nós <globalModules> e <modules> . O módulo irá injetar conteúdo de configuração do arquivo previamente mascarado (WUDFPfprot.sys), atualizando a configuração do IIS por meio de uma série de operações de anexação.
Abaixo segue um exemplo da nova entrada de módulo global adicionada que faz referência à DLL BADIIS.
Após a execução bem-sucedida, o módulo BADIIS é instalado no servidor IIS e torna-se visível como um módulo carregado no processo de trabalho w3wp.exe .
Análise dos módulos do IIS (WsmRes32.dll / WsmRes64.dll)
A seção seguinte descreverá a funcionalidade dos módulos BADIIS. Esses módulos facilitam a injeção condicional ou o redirecionamento de conteúdo SEO malicioso com base em critérios como o valor do cabeçalho User-Agent ou Referer. Essa técnica garante que o conteúdo malicioso permaneça oculto durante o uso normal, permitindo assim que os módulos permaneçam indetectáveis pelo maior tempo possível.
Ao ser inicializado, o módulo baixa conteúdo dos URLs definidos em sua configuração. Esses URLs são armazenados em formato criptografado e descriptografados usando o SM4 algorithm (uma cifra de bloco padrão nacional chinesa) no modo ECB com a chave “1111111122222222”. Em amostras mais antigas, foi utilizado o algoritmo AES-128 ECB.
Cada URL na configuração aponta para um arquivo estático .txt que contém um recurso de segundo estágio. A lista abaixo detalha esses arquivos de origem e suas funções específicas:
| URL de configuração de exemplo | Nome do arquivo | Descrição do conteúdo |
|---|---|---|
hxxp://kr.gotz003[.]com/krfml/krfmlip.txt | *fmlip.txt | Contém um URL que aponta para um arquivo CSS falso, google.css, que lista sub-redes usadas para filtrar solicitações. |
hxxp://kr.gotz003[.]com/krfml/krfmltz.txt | *fmltz.txt | Contém um link para o URL de destino usado para redirecionamentos de usuários. |
hxxp://kr.gotz003[.]com/krfml/krfmllj.txt | *fmllj.txt | Contém um link para backlinks maliciosos de SEO destinados à injeção. |
hxxp://kr.gotz003[.]com/krfml/krfmldz.txt | *fmldz.txt | Contém o link para o gerador de conteúdo SEO. |
Esses URLs apontam para arquivos específicos da região, prefixados com o código do país correspondente. Embora os exemplos acima se concentrem na Coreia (hxxp://kr.domain.com), existem arquivos equivalentes para outras regiões, como o Vietnã (VN), onde os nomes dos arquivos são prefixados com "vn" em vez de "kr"(hxxp://vn.domain.com).
O módulo BADIIS se registra no pipeline de processamento de requisições, posicionando-se como o primeiro e o último manipulador. Para cada requisição, o módulo verifica propriedades específicas e seleciona uma estratégia de injeção ou redirecionamento com base nos resultados. Temos três tipos de injeção:
| Fonte | Método de Injeção | Descrição |
|---|---|---|
*fmltz.txt | Substituição completa da página | Carregador HTML com barra de progresso + redirecionamento automático + rastreamento do Google Analytics |
*fmldz.txt | Substituição completa da página | Link direto para conteúdo de SEO, criado com index.php?domain=<host>&uri=<original_link> |
*fmllj.txt | Injeção em linha | Backlinks de SEO injetados após a tag <body> ou <html> na resposta existente |
Para distinguir entre tráfego de bots e tráfego humano, o módulo verifica a seguinte lista de Referenciadores e Agentes de Usuário.
Referenciadores: bing, google, naver, daum
Agentes de usuário: bingbot, Googlebot, Yeti, Daum
A estratégia de injeção padrão tem como alvo os rastreadores de mecanismos de busca que acessam uma página legítima no site comprometido.
Nesse cenário, os backlinks de SEO são obtidos do link secundário e inseridos na página para serem rastreados pelos robôs dos mecanismos de busca. Os backlinks baixados que são injetados na página infectada têm como alvo principal outras páginas locais dentro do domínio, enquanto os restantes apontam para páginas em outros domínios infectados. Este é um aspecto fundamental da estratégia de "link farming", que envolve a criação de grandes redes de sites que se interligam e manipulam os resultados de busca.
As páginas locais vinculadas pelos backlinks não existem no domínio infectado, portanto, visitá-las resulta em um erro 404 . No entanto, quando a solicitação é interceptada, o malware verifica duas condições: se o código de status não é 200 ou 3xx e se o User-Agent do navegador corresponde a um bot rastreador. Se sim, ele baixa conteúdo de uma página de SEO hospedada em sua infraestrutura (por meio de um link no arquivo *fmldz.txt de seu URL de configuração) e retorna um código de resposta 200 para o bot. Este URL de destino é construído usando os parâmetros 'domain' e 'uri', que contêm o nome do domínio infectado e o recurso que o rastreador tentou acessar originalmente.
Por fim, se um usuário solicitar uma página que não existe e que chega com um valor de cabeçalho Referer listado pelo malware, a página é substituída por um terceiro tipo de conteúdo: uma página de destino com uma barra de carregamento. Esta página usa JavaScript para redirecionar o usuário para o link contido no arquivo *fmltz.txt , que é obtido através de seu link de configuração.
Opcionalmente, se ativada, a solicitação é executada somente quando o User-Agent corresponde a um telefone celular, garantindo que o servidor tenha como alvo exclusivamente usuários de dispositivos móveis.
A lista de User-Agents para dispositivos móveis está apresentada abaixo:
Dispositivos: iPhone, iPad, iPod, iOS, Android, uc (UC Browser), BlackBerry, HUAWEI
Se a opção estiver ativada e o endereço IP do servidor infectado corresponder à lista de sub-redes no arquivo google.css baixado do arquivo *fmlip.txt , o servidor fornecerá o conteúdo SEO padrão em vez da página de destino/redirecionamento.
A página de destino inclui código JavaScript contendo uma tag de análise — Google Analytics ou Baidu Tongji, dependendo da região de destino — para monitorar redirecionamentos. Embora o motivo exato para o uso do filtro de IP do servidor para restringir o tráfego permaneça incerto, especulamos que esteja relacionado a essas análises e implementado para fins de SEO.
Identificamos as seguintes tags do Google em toda a campanha:
G-2FK43E86ZMG-R0KHSLRZ7N
Além da tag Baidu Tongji:
B59ff1638e92ab1127b7bc76c7922245
Análise da campanha
Com base na semelhança nos padrões de URL (<country_code>fml__.txt, <country_code>fml/index.php), descobrimos uma campanha mais antiga que data de meados de 2023 que estava usando os seguintes domínios como servidor de configuração.
tz123[.]apptz789[.]app
tz123[.]app foi divulgado em uma lista de resumo de campanha BADIIS da Trend Micro, publicada em 2024 . Com base nas primeiras datas de submissão no VT para amostras denominadas ul_cache.dll e comunicando com hxxp://tz789[.]app/brfmljs[.]txt, algumas também são submetidas sob o nome de arquivo WsmRes64.dll. Essa convenção de nomenclatura é consistente com o componente carregador BADIIS analisado na seção anterior. A amostra mais antiga que descobrimos no VT foi submetida pela primeira vez em 12/12/2023.
Para o REF4033, a infraestrutura está dividida entre dois servidores de configuração principais.
- Campanhas recentes (
gotz003[.]com): Atualmente serve como o hub de configuração principal. Análises adicionais identificaram 5 subdomínios ativos categorizados por códigos de país:kr.gotz003[.]com(Coréia do Sul)vn.gotz003[.]com(Vietnã)cn.gotz003[.]com(China)cnse.gotz003[.]com(China)bd.gotz003[.]com(Bangladesh)
- Infraestrutura legada (
jbtz003[.]com): Usada em versões anteriores da campanha, embora vários subdomínios permaneçam operacionais: br.jbtz003[.]com(Brasil)vn.jbtz003[.]com(Vietnã)vnbtc.jbtz003[.]com(Vietnã)in.jbtz003[.]com(Índia)cn.jbtz003[.]com(China)jp.jbtz003[.]com(Japão)pk.jbtz003[.]com(Paquistão)
Em essência, a campanha recente monetiza servidores comprometidos redirecionando usuários para uma vasta rede de sites ilícitos. A campanha investe fortemente na economia do vício, visando o público asiático, com foco em cassinos online não regulamentados, streaming de pornografia e anúncios explícitos de serviços de prostituição.
Isso também representa uma ameaça financeira direta. Um exemplo foi uma plataforma fraudulenta de staking de criptomoedas hospedada em uupbit[.]top, que se fazia passar pela Upbit, a maior corretora de criptomoedas da Coreia do Sul.
A lógica de segmentação da campanha reflete em grande parte a geografia da infraestrutura comprometida, estabelecendo uma correlação entre a localização do servidor e o destino de redirecionamento do usuário. Por exemplo, servidores comprometidos na China direcionam o tráfego para sites de jogos de azar locais, enquanto aqueles na Coreia do Sul redirecionam para o site fraudulento de phishing Upbit. A exceção a esse padrão envolveu a infraestrutura comprometida em Bangladesh, onde os agentes configuraram redirecionamentos HTTP para apontar para sites de jogos de azar vietnamitas não locais.
Observamos diversas páginas de redirecionamento diferentes em todos os clusters. Abaixo, segue um exemplo de modelo de redirecionamento de usuário para uma infraestrutura de vítima VN de amostra . Este modelo utiliza uma tag do Google e é muito semelhante a um dos modelos descritos na pesquisa UAT-8099 da Cisco Talos.
Um padrão mais consistente observado em todos os grupos de vítimas é mostrado no trecho abaixo, particularmente na lógica da barra de progresso. Como a amostra tem como alvo a infraestrutura de vítimas chinesas (CN), o Baidu Tongji é usado para rastrear o redirecionamento das vítimas.
Descobrimos vários agrupamentos (alguns com sobreposições) de servidores comprometidos a partir de URLs contendo backlinks na seguinte lista:
http://kr.gotz001[.]com/lunlian/index.phphttp://se.gotz001[.]com/lunlian/index.phphttps://cn404.gotz001[.]com/lunlian/index.phphttps://cnse.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/indexgov.phphttps://vn404.gotz001[.]com/lunlian/index.phphttps://vn.gotz001[.]com/lunlian/index.phphttp://bd.gotz001[.]com/lunlian/index.phphttp://vn.jbtz001[.]com/lunlian/index.phphttps://vnse.jbtz001[.]com/lunlian/index.phphttps://vnbtc.jbtz001[.]com/lunlian/index.phphttps://in.jbtz001[.]com/lunlian/index.phphttps://br.jbtz001[.]com/lunlian/index.phphttps://cn.jbtz001[.]com/lunlian/index.phphttps://jp.jbtz001[.]com/lunlian/index.phphttps://pk.jbtz001[.]com/lunlian/index.php
No âmbito do REF4033, mais de 1800 servidores foram afetados globalmente, e a campanha demonstra um claro foco geográfico na região da Ásia-Pacífico, com a China e o Vietname a representar aproximadamente 82% de todos os servidores comprometidos observados (46,1% e 35,8%, respetivamente). Concentrações secundárias são observadas na Índia (3,9%), no Brasil (3,8%) e na Coreia do Sul (3,4%), embora estas representem uma minoria da área total abrangida pela campanha. Notavelmente, aproximadamente 30% dos servidores comprometidos estão localizados em grandes plataformas de nuvem, incluindo Amazon Web Services, Microsoft Azure, Alibaba Cloud e Tencent Cloud. Os restantes 70% das vítimas estão distribuídas por vários fornecedores regionais de telecomunicações.
O perfil das vítimas abrange diversos setores, incluindo agências governamentais, instituições de ensino, prestadores de serviços de saúde, plataformas de comércio eletrônico, veículos de comunicação e serviços financeiros, indicando uma exploração oportunista em larga escala, em vez de uma exploração direcionada. Os sistemas governamentais e de administração pública representam aproximadamente 8% das vítimas identificadas em pelo menos 5 países (.gov.cn, .gov.br, .gov.bd, .gov.vn, .gov.in, .leg.br).
REF4033 através do MITRE ATT&CK
A Elastic usa a estrutura MITRE ATT&CK para documentar táticas, técnicas e procedimentos comuns que as ameaças usam contra redes corporativas.
Táticas
As táticas representam o porquê de uma técnica ou subtécnica. É o objetivo tático do adversário: a razão para executar uma ação.
Técnicas
Técnicas representam como um adversário atinge um objetivo tático executando uma ação.
- Exploração de aplicação voltada para o público
- Componente de software do servidor: Componentes do IIS
- Criar conta: Conta local
- Criar ou modificar processo do sistema: serviço do Windows
- Fluxo de execução de sequestro: vulnerabilidade nas permissões do registro de serviços
- Arquivos ou informações ofuscados: Empacotamento de software
- Mascaramento: corresponder a nome ou local legítimo
- Descoberta de informações do sistema
Remediando REF4033
Prevenção
- Descendente suspeito de um Worker do Microsoft IIS
- Potential Privilege Escalation via Token Impersonation (potencial escalação de privilégios por meio de representação indevida de token)
- Escalada de privilégios via SeImpersonatePrivilege
- Chamada de sistema direta de um módulo não assinado
- Criação suspeita de DLL de serviço do Windows
- Modificação suspeita do registro Svchost
- Acesso ao Registro do Security Account Manager (SAM)
YARA
O Elastic Security criou regras YARA para identificar essa atividade.
Observações
Os seguintes observáveis foram discutidos nesta pesquisa.
| Observável | Tipo | Nome | Referência |
|---|---|---|---|
055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294 | SHA-256 | CbsMsgApi.exe | Instalador de serviço |
2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a | SHA-256 | CbsMsgApi.dll | ServiceDLL |
c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2 | SHA-256 | CbsMsgApi.dll | ServiceDLL |
7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca | SHA-256 | D_Safe_Manage.exe | Firewall D-Shield |
1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72 | SHA-256 | WsmRes64.idx | Módulo BADIIS de 64 bits |
1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016 | SHA-256 | WsmRes64.idx2.sc | Módulo BADIIS de 64 bits |
c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f | SHA-256 | WsmRes32.idx | Módulo BADIIS de 32 bits |
gotz003[.]com | nome de domínio | Servidor de configuração BADIIS (primário) | |
jbtz003[.]com | nome de domínio | Servidor de configuração BADIIS (legado) | |
gotz001[.]com | nome de domínio | Servidor principal de conteúdo SEO e backlinks da BADIIS | |
jbtz001[.]com | nome de domínio | Servidor principal de conteúdo SEO e backlinks da BADIIS |
Referências
Os seguintes itens foram referenciados ao longo da pesquisa acima: