思科旗下威胁情报团队Talos发现名为DragonRank的黑客组织，主要针对亚洲、欧洲国家而来，企图利用恶意程序PlugX、BadIIS来操纵搜索引擎优化（SEO）排名。黑客利用特定的网页应用程序服务来部署Web Shell，然后进一步收集系统信息并植入恶意软件，并搜括各式帐密数据，至少有35台IIS服务器受害。

针对这波攻击行动，研究人员指出，他们看到泰国、印度、韩国、比利时、荷兰、中国出现受害主机，黑客攻击的行业也相当广泛，涵盖珠宝、新闻媒体、研究服务、医疗保健、影视制作、制造、交通运输、宗教组织、IT服务、农业等。

根据黑客使用的工具，以及策略、技术、流程（TTP），研究人员认为攻击者的身分是使用简体中文沟通的黑客组织，主要标的是代管企业网站的IIS服务器，黑客对其植入BadIIS，用来操纵搜索引擎爬虫，并左右受害网站的SEO排名。此外，黑客还能借由这些IIS服务器，向使用者散布诈骗网站。

研究人员表示，这些黑客积极从事黑帽SEO活动，通过不道德的手段提高客户的网络知名度，但与其他投入黑帽SEO的网络犯罪组织有所不同，DragonRank强调横向移动及权限提升，目标是渗透到受害组织网络环境的其他服务器，并进行控制，而非尽可能破坏大量网站服务器来操纵搜索引擎流量。

攻击者最初锁定phpMyAdmin、WordPress等网页应用程序服务的漏洞，一旦他们能够远程在受害网站运行任意代码，或是上传文件，就会部署Web Shell，从而控制服务器。

接着，黑客利用Web Shell收集系统信息，并启动PlugX、BadIIS，以及窃取帐密数据的工具，例如：Mimikatz、PrintNotifyPotato、BadPotato、GodPotato。

值得留意的是，黑客也借由Web Shell或是外流的帐密数据，利用远程桌面连接（RDP）存取网络环境的其他IIS服务器，进行横向感染，在其中1台服务器上，研究人员看到黑客借由特定工具将管理员权限拷贝到Guest帐号。

而对于黑客运行恶意程序PlugX的手法，研究人员特别提及对方不光使用常见的侧载手法，也滥用窗口操作系统的结构化例外状况处理（Structured Exception Handling，SEH）机制，使得他们利用合法文件加载恶意程序的过程，不会被资安防护机制怀疑有害。