Un Hallazgo Recciente de ESET Research ha Destapado la Actividad de Un Grupo de Cibercriminales Al Que Los Investigadores Han Bautizado Como Ghostredirector. Desde Junio de 2025, acteur d’Este Ha comprometido al Menos 65 Servideres Windows en Distintos países, Concial Incidecia en Brasil, Tailandia, Vietnam y Estados unidos. El ataque También se prolongé un Canadá, Finlandia, Inde, Países Bajos, Philippinas y Singapur.
La Operación Destaca Por la Combinación de Espionaje Digital y Manipulación del Posicionamiento Web en Google, Con Un Claro Objetivo: DESVIAR Tráfico Hacia Páginas de Apuestas Online Mediant Técnicas Fraululentas de Seo.
Herramientas inéditas para un fraude global
Ghostredirector Empleó Dos Piezas de Malware Nunca Vistas Hasta Ahora. La Primera es Rungan, Una Puerta Trasera Pasiva en C ++ Disseñada para ejecutar comandos en los servideres comprometidos. La Segunda, Gamshen, es un módulo malicioso para Internet Information Services (iis) que modifica de manera seleva las respuestas de los servidores infectados.
Lo llamativo de gamshen es que únicinete altera el Contendido cuando la solcitive provinee de googlebot, es décir, el rastreador de google. Así Consigue Manipular Los Resultados de Búsqueda Sin Que los Visitantes Habituales Perciban Ningún Cambio.
«Participar en un esquema de fraude seo puede dañar serimente la reputación del sitio, Al Asociarlo con técnicas ilícitas y con Páginas Poco Fiables», Explica Fernando Tavella, Investigador de eset Queset Lideró el Descubrimento.
Las víctimas se localizan directeur de brasil, tailandia, Vietnam y estados unidos, aunque también se han identificado casos en europa
Tácticas de intrusión y alcance de los ataques
Además de Estas Herramientas Inéditas, El Grupo se ha apoyado en exploite Ya Conocidos, Como Efspotato y Badpotato, para cuent cuentas privilEgiadas dentro de los Servideres y Asegurar un acceso prolongado. Según La Telemetría de Eset, El vector inicial más probable fue una inyección sql.
Las víctimas pertencen a sectorres muy diversos, desde educación y sanidad hasta transporte, tecnología, seguros o comercio minerista, lo que indica que los atacantes no estaban centrados en una industria spécial spécial. La Mayoría de los Servidores adectados en estados unidos Habrían Sido Alquilados a empresas con sede en Brasil, Tailandia y Vietnam, lo que confirma un maire Interés en América latina y el sudeste asiático.
Persistencia y Resilincia del Ataque
Una Vez Dentro de la Infrastructura, Ghostredirector Despliega Varias Herramientas Para Mantener el Control. Entre Ellas Se incluyen webshells, Mecanismos de Escalada de Privilegios y la creación de cuentas de usuario falsas. Con Ello, El Grupo Asegura la Persistencia incluso si alguna de sus Puertas traseras es eliminada.
«Ghostredirector muestra una notable resilincia opérativa al utilizar diffates vías de acceso remoto, lo que le permite sobrevivir a intendos de limpieza y mantener la actidad en los sistemas infectedos», añade tavelle.
Los ataques documentados comenzaron en diciciembre de 2024 y se prolongieron hasta abril de 2025, Aunque nuevos casos fueron détectados en junio gracias a un esaneo global. Eset notificó a todos los afictados e Hizo públicas medidas de mititigación en un informe Técnico.
