Китайськомовний загрозливий актор, відстежуваний як CL-UNK-1037 за даними Palo Alto Networks Unit 42, використовує шкідливе ПЗ BadIIS у кампанії SEO-poisoning під назвою Operation Rewrite, спрямованій на Східну та Південно-Східну Азію, зокрема В’єтнам. BadIIS – це шкідливий модуль для Internet Information Services (IIS), який маніпулює результатами пошукових систем, перенаправляючи трафік на небажані сайти (наприклад, азартні ігри чи порно) для фінансової вигоди, а також встановлює веб-шелли для подальшого доступу. Кампанія пов’язана з інфраструктурою групи Group 9 (за даними ESET) та DragonRank. Атаки тривають з метою монетизації через перенаправлення трафіку та експлуатацію веб-шеллів.

Ця загроза підкреслює ризики для регіонів Азії, де зловмисники можуть компрометувати веб-сервери, призводячи до фінансових втрат та подальших вторгнень. Дослідник безпеки Yoav Zemah зазначив: “Щоб виконати SEO-poisoning, зловмисники маніпулюють результатами пошукових систем, обманюючи людей відвідувати неочікувані чи небажані сайти (наприклад, азартні ігри та порно) для фінансової вигоди.” Рекомендації включають моніторинг IIS-модулів та посилення захисту від SEO-маніпуляцій.