El grupo de investigación ESET Research ha descubierto un nuevo grupo de ciberamenazas al que ha denominado GhostRedirector. En junio de 2025, este actor comprometió al menos 65 servidores Windows, principalmente en Brasil, Tailandia, Vietnam y Estados Unidos. También se identificaron víctimas en Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur.
GhostRedirector utilizó dos herramientas personalizadas inéditas hasta el momento: una puerta trasera pasiva en C++, bautizada por ESET como Rungan, y un módulo malicioso para Internet Information Services (IIS) denominado Gamshen. Según el grupo de investigadores de ESET, es muy probable que GhostRedirector sea un grupo alineado con China. Mientras que Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, Gamshen se emplea para ofrecer fraude SEO como servicio, manipulando los resultados del motor de búsqueda de Google con el fin de mejorar artificialmente el posicionamiento de sitios web configurados. Su objetivo es promocionar de forma fraudulenta distintas páginas de apuestas online.
“Aunque Gamshen solo modifica las respuestas cuando la petición proviene de Googlebot – es decir, no afecta a los visitantes habituales de las webs comprometidas –, la participación en un esquema de fraude SEO puede dañar seriamente la reputación del sitio al asociarlo con técnicas ilícitas y con páginas poco fiables”, explica Fernando Tavella, investigador de ESET que realizó el hallazgo.
Tácticas y técnicas utilizadas
Además de Rungan y Gamshen, GhostRedirector recurre a otras herramientas personalizadas y a exploits ya conocidos públicamente, como EfsPotato y BadPotato, para crear usuarios privilegiados en los servidores comprometidos. Estos accesos pueden emplearse para descargar y ejecutar componentes maliciosos con mayores privilegios o como mecanismo de respaldo si las puertas traseras son eliminadas.
Aunque las víctimas se encuentran en diferentes regiones geográficas, la mayoría de los servidores comprometidos localizados en Estados Unidos parecen haber sido alquilados a empresas con sede en Brasil, Tailandia y Vietnam, que son precisamente los países donde se concentran la mayor parte de los otros servidores atacados. Por ello, ESET Research considera que GhostRedirector estaba más interesado en atacar a víctimas en América Latina y el Sudeste Asiático. El grupo no ha mostrado interés en un sector vertical concreto; por el contrario, ESET ha identificado víctimas en múltiples áreas, entre ellas educación, sanidad, seguros, transporte, tecnología y comercio minorista.
Según la telemetría de ESET, es probable que GhostRedirector obtenga acceso inicial a sus víctimas explotando una vulnerabilidad, muy probablemente una inyección SQL. Tras comprometer un servidor Windows, los atacantes descargan y ejecutan diversas herramientas maliciosas: una herramienta para la escalada de privilegios, malware que despliega múltiples webshells, o bien la mencionada puerta trasera y el troyano para IIS. Además de su propósito evidente de escalar privilegios, estas herramientas pueden servir como respaldo en caso de que el grupo pierda acceso al servidor comprometido. Entre las capacidades de la puerta trasera se incluyen la comunicación a través de la red, la ejecución de archivos, el listado de directorios y la manipulación de servicios y claves del registro de Windows.
“GhostRedirector también muestra persistencia y resiliencia operativa al desplegar múltiples herramientas de acceso remoto y crear cuentas de usuario falsas, con el fin de mantener el acceso a largo plazo a la infraestructura comprometida”, añade Tavella.
Según la telemetría de ESET, los ataques se registraron entre diciembre de 2024 y abril de 2025, con víctimas adicionales identificadas en junio de 2025 mediante un escaneo global de internet. ESET notificó a todos los afectados detectados y ofrece medidas de mitigación en un informe técnico previamente publicado.
