Posted in Malwares

Le malware BadIIS pirate les serveurs IIS pour rediriger le trafic vers des sites illicites.

   Published Date: 21 mai 2026  Leave a Comment on Le malware BadIIS pirate les serveurs IIS pour rediriger le trafic vers des sites illicites.

Une souche sophistiquée de malware, baptisée BadIIS, détourne discrètement des serveurs web légitimes pour orchestrer des fraudes à grande échelle. Une fois installé, le logiciel redirige silencieusement les visiteurs vers des sites de jeux d’argent illégaux, des plateformes pornographiques ou des destinations malveillantes.

En s’infiltrant directement dans Microsoft Internet Information Services (IIS) — le serveur web intégré à Windows et massivement utilisé en entreprise —, BadIIS permet aux cybercriminels d’intercepter et de manipuler l’ensemble du trafic web de la victime.

Un modèle commercial calqué sur le « SaaS » légitime

La dangerosité de cette nouvelle variante réside dans son modèle de distribution. Loin d’être l’outil exclusif d’un seul groupe de hackers, BadIIS est vendu comme un produit commercial clé en main sur le dark web.

Opérant sur le modèle du Malware-as-a-Service (MaaS), ses développeurs imitent les éditeurs de logiciels légitimes en proposant :

  • Des versions distinctes et des mises à jour régulières.
  • Des options de personnalisation selon les besoins des clients.
  • Un support technique continu.

Cinq ans d’évolution technique sous le radar

Les chercheurs de Cisco Talos ont identifié cette variante grâce à un marqueur spécifique : la chaîne de caractères demo.pdb intégrée dans les fichiers de débogage du malware.

Selon l’analyste Joey Chen (Talos), l’étude de ces artefacts techniques révèle un effort de développement continu mené par un auteur unique opérant sous le pseudonyme de « lwxat ». Son activité est documentée sur une période particulièrement longue, s’étendant de septembre 2021 à janvier 2026.

Des domaines à haute réputation pris pour cibles

Bien que l’épicentre de la campagne se situe dans la région Asie-Pacifique, des infections ont également été détectées en Europe, en Amérique du Nord et en Afrique du Sud.

Les attaquants ciblent en priorité les serveurs IIS de gouvernements, d’universités et de grandes entreprises. Ce choix est stratégique : squatter des domaines bénéficiant d’une excellente réputation permet aux cybercriminels de contourner les filtres de sécurité et de donner une fausse légitimité à leurs activités frauduleuses.

Une cybercriminalité sinophone interconnectée

Si d’autres géants de la cybersécurité (Trend Micro, Ahnlab, Elastic) surveillent BadIIS à l’échelle mondiale, Talos note que les tactiques de la campagne demo.pdb se distinguent nettement des autres variantes connues.

Cette fragmentation rend l’attribution difficile. Néanmoins, Talos estime avec un niveau de confiance modéré que plusieurs groupes de cybercriminels sinophones partagent et exploitent cette même boîte d’outils, confirmant la maturité et la structure hautement coordonnée de cet écosystème criminel.

Comment le malware BadIIS prend le contrôle des serveurs

Une fois déployé, BadIIS s’infiltre directement dans le pipeline de traitement des requêtes du serveur IIS. Cette position stratégique lui permet d’intercepter, d’inspecter et de modifier l’intégralité du trafic web entrant et sortant.

Pour faciliter son déploiement, les cybercriminels utilisent un générateur de charge utile (builder) dédié. Cet outil clé en main permet de configurer les URL cibles et d’injecter des paramètres personnalisés avant l’attaque. Grâce à cette interface simplifiée, même des opérateurs peu expérimentés peuvent lancer des campagnes efficaces.

Les 4 modes d’attaque de BadIIS

Selon les analyses de Cisco Talos, le générateur de BadIIS permet de programmer quatre types d’actions malveillantes :

  • La redirection de trafic : Le malware détourne discrètement les sessions des utilisateurs légitimes vers des sites web illicites.
  • Le proxy inversé (SEO Poisoning) : BadIIS repère les robots des moteurs de recherche (comme Googlebot) et leur sert du faux contenu bourré de mots-clés. Objectif : booster artificiellement le référencement des sites criminels.
  • Le détournement de contenu (Defacement) : Les attaquants remplacent l’intégralité du contenu visible du site web légitime par leur propre contenu.
  • L’injection de backlinks : Le malware insère des liens cachés pour transférer l’autorité SEO et la réputation du site de la victime vers des domaines malveillants externes.

« Détournement de site personnalisé : redirection basée sur la langue du navigateur » (source : 
Talos )

En Savoir plus sur : Cybersecuritytimes.com

Author: ZwX

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *