Chinese hackersgroep past SEO-manipulatie toe
Cisco Talos waarschuwt voor een nieuwe dreiging: ‘DragonRank’. Deze Chinese hackersgroep manipuleert zoekmachineresultaten (SEO) door IIS-servers (Internet Information Services) in Nederland, Azië en andere delen van Europa te compromitteren.
DragonRank past geavanceerde technieken toe voor SEO-manipulatie, ook bekend als black hat SEO, om kwaadaardige websites hoger in de zoekresultaten te krijgen. Dit omvat illegale methoden zoals keyword stuffing, link farming en het verbergen van schadelijke inhoud, waardoor cybercriminelen de zichtbaarheid van gevaarlijke websites vergroten en nietsvermoedende gebruikers naar risicovolle pagina’s leiden.
De groep breekt in op webapplicaties van bedrijven en plaatst een webshell, waarmee ze controle over servers verkrijgen om malware te installeren. Ze maken gebruik van PlugX- en BadIIS-malware en zetten verschillende tools in om inloggegevens te verzamelen en gebruikersaccounts te klonen.
Geavanceerde backdoor
PlugX is een geavanceerde backdoor die veel door Chinese actoren wordt gebruikt. Het maakt technieken zoals DLL-sideloading en Windows Structured Exception Handling (SEH) gebruik om malware ongemerkt te laden, wat detectie door beveiligingssoftware bemoeilijkt. BadIIS richt zich specifiek op IIS-servers en past SEO-structuren aan door HTTP-reacties voor zoekmachinecrawlers te manipuleren. Hierdoor kunnen cybercriminelen schadelijke websites via zoekmachines promoten en zoekresultaten vervalsen.
“DragonRank vormt een ernstige bedreiging voor de betrouwbaarheid van online zoekresultaten en ondermijnt tegelijkertijd de beveiliging van bedrijfsidentiteiten,” aldus Jan Heijdra, Field CTO Security bij Cisco Nederland. “Door geavanceerde SEO-manipulatietechnieken te gebruiken, kunnen cybercriminelen de zichtbaarheid van malafide websites verhogen en toegang krijgen tot gevoelige bedrijfsinformatie. Dit benadrukt hoe essentieel identity security is voor een strategische en proactieve aanpak van cybersecurity.”