ESET rafforza la cybersicurezza scoprendo GhostRedirector, una nuova minaccia cinese che manipola Google e infetta i server Windows su scala globale.
I ricercatori di ESET hanno scoperto un nuovo threat actor che minaccia la cybersicurezza e che hanno denominato GhostRedirector. Nel giugno 2025, questo gruppo ha compromesso almeno 65 server Windows, localizzati principalmente in Brasile, Thailandia, Vietnam e Stati Uniti. Altre vittime sono in Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore.
Una minaccia per la cybersicurezza
GhostRedirector ha utilizzato due strumenti personalizzati e finora non documentati. Ovvero una backdoor passiva in C++, che ESET ha chiamato Rungan, e un modulo Internet Information Services (IIS) malevolo, denominato Gamshen. GhostRedirector è con ragionevole certezza un threat actor legato alla Cina. Se Rungan consente agli attaccanti di eseguire comandi sul server compromesso, Gamshen è invece progettato per realizzare frodi SEO in modalità as-a-service. Manipola i risultati di ricerca di Google per migliorare artificialmente il posizionamento di determinati siti web. Con l’obiettivo di promuovere soprattutto portali di scommesse online.
Oltre a Rungan e Gamshen, GhostRedirector impiega anche altri strumenti personalizzati, oltre agli exploit noti come EfsPotato e BadPotato. Questi sono usati per creare un account con privilegi elevati sul server compromesso. L’account consente agli attaccanti di scaricare ed eseguire ulteriori componenti malevoli con diritti amministrativi. E, allo stesso tempo, rappresenta una via di accesso alternativa nel caso in cui Rungan o altri strumenti siano rimossi dal sistema.
Sebbene le vittime siano distribuite in diverse aree geografiche, la maggior parte dei server compromessi localizzati negli Stati Uniti risulta noleggiata da aziende con sede in Brasile, Thailandia e Vietnam. Ovvero gli stessi paesi in cui si trovano la maggioranza delle vittime. Per questo motivo, ESET Research ritiene che l’interesse di GhostRedirector fosse rivolto principalmente a bersagli in America Latina e nel Sud-est asiatico. GhostRedirector non ha mostrato preferenze verso un settore verticale specifico. ESET ha infatti identificato vittime in più comparti, tra cui educazione, sanità, assicurazioni, trasporti, tecnologia e retail.
Gli attacchi
Secondo la telemetria ESET, GhostRedirector ottiene probabilmente l’accesso iniziale alle vittime sfruttando una vulnerabilità, con tutta probabilità una SQL Injection. Dopo aver compromesso un server Windows, gli attaccanti scaricano ed eseguono diversi strumenti malevoli. Quindi un tool di escalation dei privilegi, un malware che installa più webshell o le già menzionate backdoor e trojan per IIS. Oltre all’evidente scopo di aumentare i privilegi, questi strumenti possono essere utilizzati anche come accesso di riserva nel caso il gruppo perdesse il controllo del server. Le funzionalità della backdoor includono comunicazioni di rete, esecuzione di file, consultazione delle directory e manipolazione di servizi e chiavi del registro di Windows.
La telemetria di ESET ha rilevato attacchi riconducibili a GhostRedirector tra dicembre 2024 e aprile 2025, e una scansione internet su larga scala condotta a giugno 2025 ha permesso di identificare ulteriori vittime. ESET ha informato tutte le vittime individuate tramite la scansione riguardo al compromesso subito. Le raccomandazioni di mitigazione sono descritte in un white paper già disponibile.
