GhostRedirector: nuova campagna di attacchi ai server Windows manipola i risultati di ricerca di Google

GhostRedirector: nuova campagna di attacchi ai server Windows manipola i risultati di ricerca di Google

ESET ha scoperto GhostRedirector, un gruppo di cybercriminali probabilmente legato alla Cina che ha compromesso oltre 65 server Windows tra dicembre 2024 e giugno 2025. Usando la backdoor Rungan e il modulo IIS Gamshen, il gruppo combina attacchi mirati e frodi SEO, con vittime soprattutto in America Latina e Sud-est asiatico.

di pubblicata il , alle 15:01 nel canale Sicurezza
ESET
 

I ricercatori di ESET hanno identificato un nuovo gruppo di cybercriminali, denominato GhostRedirector, attivo tra dicembre 2024 e giugno 2025. Il threat actor, con probabili legami con la Cina, ha compromesso almeno 65 server Windows localizzati principalmente in Brasile, Thailandia, Vietnam e Stati Uniti, con vittime anche in Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore.

Il gruppo si distingue per l'uso di due strumenti inediti: Rungan, una backdoor passiva in C++ che consente l'esecuzione di comandi sul server, e Gamshen, un modulo malevolo per Internet Information Services (IIS) progettato per frodi SEO in modalità as-a-service.

Quest'ultimo manipola i risultati delle ricerche di Google esclusivamente quando la richiesta proviene da Googlebot, evitando di alterare la navigazione degli utenti legittimi. Lo scopo è migliorare il posizionamento di siti terzi, soprattutto legati al gioco d'azzardo online, sfruttando l'affidabilità dei server compromessi.

L'implementazione di Gamshen come modulo IIS nativo richiama precedenti campagne di malware della stessa categoria, come IISerpent, già analizzato da ESET nel 2021. La peculiarità di GhostRedirector risiede nella combinazione di strumenti personalizzati e sfruttamento di exploit noti come EfsPotato e BadPotato, impiegati per creare account privilegiati in grado di garantire l'installazione di ulteriori componenti malevoli e fornire accessi di riserva.

Secondo le analisi, l'infezione iniziale avviene probabilmente tramite vulnerabilità di tipo SQL Injection. Una volta ottenuto l'accesso, il gruppo installa diversi livelli di persistenza: dalle webshell alle backdoor, fino alla creazione di utenti fasulli. Questa strategia consente agli attaccanti di mantenere il controllo a lungo termine sulle infrastrutture colpite, anche nel caso in cui parte del malware venga individuata e rimossa.

Le vittime individuate appartengono a settori eterogenei - educazione, sanità, assicurazioni, trasporti, tecnologia e retail - senza una preferenza specifica per un comparto. Tuttavia, la concentrazione di server compromessi legati a società sudamericane e del Sud-est asiatico suggerisce che queste aree siano state gli obiettivi principali.

ESET ha pubblicato un white paper con le raccomandazioni di mitigazione e avvisato le organizzazioni coinvolte. Un'analisi tecnica completa è disponibile sul blog WeLiveSecurity.

I migliori sconti su Amazon oggi
-13%

ECOVACS DEEBOT T50 PRO OMNI Gen2 Robot Aspirapolvere Lavapavimenti, (Migliorato da T30 PRO), 21000 Pa, Spazzola Laterale Estensibile e Lavapavimenti, Aggiunta Automatica Soluzione Detergente

399.00 349.00 Compra ora
-13%

Lefant M330Pro Robot Aspirapolvere Lavapavimenti con Mappatura, Navigazione dToF, Zona vietata, Evitamento ostacoli PSD, Aspirazione 5000Pa, 150 minuti, Pulizia programmata, Alexa/APP/WiFi,Nero

Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^