Попробуйте воспользоваться прокси, vpn, tor, возможно вас будет редиректить. Например в расширении HOLA можно выбирать страну, ip при этом естественно меняется, возможно установится именнно тот, который попадает под ридерект вредоноса. То же касается и user agent - можно воспользоватсья расширением, позволяющим его менять.

Ну и когда найдёте вредоносный код, можно будет в нем посмотреть (если он зашифрован, можно будет условие, по которому выбирается устройство для редиректа отключить)

Скорее всего на старый сервер данные почему-то приходили как form/data, а на новом сервере стали приходить как application/json.
Почему это могло произойти, ума не приложу.
Я бы в качестве быстрого решения пропатчил Yii::$app->request->post() чтобы он возвращал данные, полученные из Yii::$app->request->getRawBody(), а потом дальше думал.