GhostRedirector surge como novo ator de ameaça alinhado à China

GhostRedirector surge como novo ator de ameaça alinhado à China

Um grupo de hackers recém-identificado comprometeu pelo menos 65 servidores Windows em todo o mundo, principalmente no Brasil, Tailândia e Vietnã.

De acordo com os pesquisadores da ESET, o grupo, chamado GhostRedirector, implantou duas ferramentas anteriormente desconhecidas: um backdoor C ++ chamado Rungan e um módulo malicioso de Serviços de Informações da Internet (IIS) conhecido como Gamshen.

O Rungan permite que os invasores executem comandos em servidores comprometidos. Gamshen, por sua vez, manipula os resultados dos mecanismos de pesquisa para inflar artificialmente as classificações de determinados sites, principalmente plataformas de jogos de azar.

Essa tática, descrita como fraude de SEO como serviço, aproveita os servidores comprometidos para melhorar as classificações das páginas sem afetar os visitantes regulares.

“Gamshen […] não veicula conteúdo malicioso ou afeta os visitantes regulares dos sites – a participação no esquema de fraude de SEO pode prejudicar a reputação do site host comprometido, associando-o a técnicas obscuras de SEO e aos sites impulsionados”, explicou a ESET.

Além disso, os pesquisadores observaram que o GhostRedirector também dependia de exploits conhecidos, como BadPotato e EfsPotato, para obter privilégios de administrador. Esses escalonamentos permitiram a criação de novas contas, garantindo que os invasores pudessem manter o acesso mesmo que outro malware fosse removido.

Leia mais sobre malware IIS e esquemas de fraude de SEO: Malware BadIIS explora servidores IIS para fraude de SEO

Os ataques não se limitaram a um setor. A ESET observou vítimas em um amplo conjunto de setores, incluindo saúde, seguros, varejo, transporte, tecnologia e educação.

Os servidores mais afetados estavam localizados no Brasil, Peru, Tailândia, Vietnã e EUA, embora clusters menores tenham sido vistos no Canadá, Finlândia, Índia, Holanda, Filipinas e Cingapura.

Os investigadores concluíram com confiança média que o GhostRedirector está alinhado com a China. Vários indicadores apoiaram isso, incluindo strings chinesas codificadas, um certificado de assinatura de código vinculado a uma empresa chinesa e uma senha contendo a palavra mandarim “huang” – chinês para amarelo.

Essa atividade se assemelha à de outro grupo alinhado à China, o DragonRank, anteriormente ligado à fraude de SEO. Embora haja alguma sobreposição na geografia e nos setores-alvo, a ESET enfatizou que não há evidências de que os dois grupos estejam conectados.

O GhostRedirector está ativo desde pelo menos agosto de 2024, de acordo com a ESET. A campanha destaca como os módulos nativos do IIS podem ser abusados para manipular silenciosamente as classificações de pesquisa.

Ao incorporar código malicioso no software de servidor web da Microsoft, os invasores não apenas obtêm persistência, mas também usam plataformas legítimas para canalizar o tráfego para sites obscuros.

Pesquisadores da ESET alertaram que tais campanhas podem corroer a confiança em organizações comprometidas, mesmo quando os usuários finais não são diretamente prejudicados.

Para se defender contra ameaças semelhantes, os especialistas em segurança aconselham as organizações a monitorar os servidores IIS em busca de módulos incomuns, aplicar patches de segurança oportunos, restringir o uso de contas de alto privilégio e revisar a atividade do PowerShell em busca de downloads suspeitos.

Auditorias regulares de configurações de servidor e contas de usuário também podem ajudar a detectar persistência maliciosa antes que ela cause danos a longo prazo.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.