“Operasyon Rewrite” olarak adlandırılan gelişmiş bir siber kampanya, arama motoru optimizasyonu (SEO) zehirlenmesi olarak bilinen bir teknikle kötü niyetli içerik sunmak için Microsoft Internet Bilgi Hizmetleri (IIS) web sunucularını aktif olarak ele alıyor.
Palo Alto Networks, operasyonu Mart 2025’te ortaya çıkardı ve onu Badiis olarak bilinen kötü niyetli bir IIS modülü kullanan Çince konuşan bir tehdit aktörüne yüksek güvenle ilişkilendirdi.
Kampanyanın birincil hedefi, şüphesiz kullanıcıları kumar ve pornografi platformları gibi istenmeyen web sitelerine yönlendirmek için arama motoru sonuçlarını manipüle ederek finansal kazançtır.
Saldırganlar, meşru, yüksek tanıtım web sitelerinden ödün vererek onları kötü niyetli faaliyetleri için farkında olmayan kanallara dönüştürüyorlar.
Badiis kötü amaçlı yazılım ve SEO zehirlenmesi
Bu işlemin merkezinde, Microsoft’un IIS Web Server yazılımı için kötü niyetli bir yerel modül olan Badiis var. İlk olarak 2021’de tanımlanan bu modüller, doğrudan web sunucusunun temel süreçlerine entegre olur ve bunlara üst düzey ayrıcalıklar verir.
Bu derin entegrasyon, kötü amaçlı yazılımların gelen ve giden tüm web trafiğini kesmesine, incelemesine ve değiştirmesine olanak tanır. Saldırganlar, kötü niyetli kod enjekte etmek, kullanıcıları yönlendirmek ve kolayca algılanmadan hassas bilgileri çalmak için bu kontrolü kullanır.
Saldırganlar SEO zehirlenmesi yapmak için badiis kullanıyor. Arama motorlarında sıralanması zor olan yeni kötü amaçlı web siteleri oluşturmak yerine, zaten iyi bir üne sahip yerleşik sitelerden ödün veriyorlar.
Popüler arama anahtar kelimelerini tehlikeye atılan sitenin içeriğine enjekte ederek, Google ve Bing gibi arama motorlarını, çok çeşitli ilgisiz sorgular için siteyi sıralayarak kandırırlar.
“Operasyon Yeniden Yazma” kampanyası, önce arama motorlarını aldatmak ve daha sonra insan kurbanlarını işgal etmek için tasarlanmış iki ayrı aşamada ilerliyor.
- Cazibe aşaması: Saldırı, bir arama motoru tarayıcısı (GoogleBot gibi) uzlaşmış bir sunucuyu ziyaret ettiğinde başlar. BADIIS modülü,
User-Agentbaşlık. Daha sonra anahtar kelime açısından zengin, zehirlenmiş içerik almak için bir komut ve kontrol (C2) sunucusu ile iletişim kurar. Bu içerik yalnızca tarayıcıya sunulur ve arama motorunun meşru web sitesini popüler ama alakasız terimler için dizine eklemesine neden olur. Analiz, Vietnam arama motorları için anahtar kelimeler ve yasadışı futbol akış hizmetleriyle ilgili terimler ile Doğu ve Güneydoğu Asya’ya özel bir odaklanma göstermektedir.
- Tuzak aşaması: Arama sonuçları zehirlendikten sonra tuzak ayarlanır. Bir kullanıcı kötü amaçlı arama sonucunu tıkladığında, BADIIS modülü, bunları kontrol ederek bir insan kurbanı olarak tanımlar.
Refererbaşlık. Beklenen web sayfasını göstermek yerine, modül bir aldatmaca web sitesine yönlendirme bağlantısı almak için C2 sunucusuyla tekrar temasa geçer. Geri ihlal edilen sunucu, kurbanı sorunsuz bir şekilde saldırgan kontrollü varış noktasına gönderen ters bir proxy görevi görür.
Palo Alto Networks, CL-bütün-1037 olarak izlenen bu etkinlik kümesini Çince konuşan bir tehdit grubuna bağladı. “Operasyon Rewrite” adı, kötü amaçlı yazılım kodunda bir nesne adı olarak bulunan “yeniden yazma” anlamına gelen Pinyin Çeviri “Chongxiede” (重写) ‘den kaynaklanmaktadır.
Daha fazla araştırma, basitleştirilmiş Çince karakterlerde yazılmış kod yorumları da dahil olmak üzere ek dilsel kanıtlar ortaya koydu.
Grubun araç seti yerel Badiis modülü ile sınırlı değildir. Soruşturma, aktörün uyarlanabilirliğini gösteren çeşitli varyantları ortaya çıkardı.
Bunlar arasında hafif ASP.NET sayfa işleyicileri, yönetilen .NET IIS modülleri ve hepsi farklı teknik yollarla aynı SEO zehirleme hedeflerine ulaşmak için tasarlanmış hepsi bir arada bir PHP komut dosyası bulunur.
Araştırmacılar, “Grup 9” olarak bilinen halka açık bir tehdit kümesi ve “Dragonrank” kampanyasına taktik benzerlikler ile altyapı ve kod tasarımında önemli örtüşmeler kaydetti ve bu da daha geniş bir tehdit aktörleri ekosisteminde bir bağlantı önerdi.
Anında güncellemeler almak ve CSN’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.
