From PDB strings to MaaS: Tracking a commodity BadIIS ecosystem used by Chinese-speaking threat

BadIIS ist ein Malware-Backdoor, der primär Microsoft IIS-Instanzen auf Windows Server-Systemen infiltriert und als Commodity-Malware unter der Malware-as-a-Service (MaaS) Betriebsweise von chinesischsprachigen Cyberkriminallengruppen verbreitet wird. Der Malware-Entwickler unter dem Alias "lwxat" führt seit September 2021 kontinuierliche Verbesserungen und Evasions-Taktiken durch, einschließlich gezielter Umgehungen gegen Sicherheitsvendoren wie Norton. Joel Traber AG betreibt Windows Server 2022/2019 in einer kritischen fertigungstechnischen Umgebung; IIS-Kompromittierung könnte auf Produktionssysteme, ERP-Daten (SAP Business One, Abacus) und Remote-Access-Gateways zugreifen. Cisco Talos hat detaillierte Indikatoren (ClamAV-Signaturen, SNORT-Regeln, IOCs) zur Detektion veröffentlicht.