Investigadores de ESET han revelado la existencia de un nuevo actor de amenazas al que han denominado GhostRedirector. Este grupo ha comprometido al menos 65 servidores Windows, principalmente en Brasil, Tailandia y Vietnam. GhostRedirector emplea dos herramientas personalizadas aún no documentadas: una puerta trasera pasiva escrita en C++, conocida como Rungan, y un módulo malicioso de Internet Information Services (IIS) denominado Gamshen.
La funcionalidad principal de Rungan es ejecutar comandos en los servidores comprometidos, mientras que Gamshen se utiliza para llevar a cabo fraudes de SEO como un servicio, manipulando los resultados de búsqueda para elevar el ranking de sitios web específicos. Este módulo solo altera la respuesta cuando la solicitud proviene de Googlebot, lo que significa que los usuarios regulares que visitan estos sitios web no ven contenido malicioso, aunque la participación en estas actividades fraudulentas puede perjudicar la reputación de los sitios afectados.
Gamshen es particularmente inusual, ya que está implementado como un módulo nativo de IIS, lo que le otorga ciertas capacidades que otros tipos de malware pueden no poseer. GhostRedirector también utiliza herramientas y exploits conocidos para crear usuarios privilegiados en los servidores comprometidos, lo que les permite descargar y ejecutar componentes maliciosos adicionales con mayores privilegios. Se ha establecido una razonable evidencia de que un actor de amenazas alineado con China podría estar detrás de esta campaña.
Hasta la fecha, se ha observado que los ataques afectan a una variedad de sectores, incluyendo seguros, salud, comercio minorista, transporte, tecnología y educación. A partir de diciembre de 2024, GhostRedirector ha estado en acción, y los investigadores han recopilado datos que muestran que este grupo utiliza varias técnicas para alcanzar y comprometer sistemas vulnerables, incluyendo la explotación de vulnerabilidades en aplicaciones de cara al público.
Los actores detrás de GhostRedirector se han demostrado resilientes al implementar múltiples herramientas de acceso remoto y crear cuentas de usuario no autorizadas para asegurar el acceso continuo a la infraestructura comprometida. Esto pone de manifiesto la sofisticación y la amenaza que representa este nuevo grupo en el panorama de la ciberseguridad.
Fuente: WeLiveSecurity by eSet.
