A empresa europeia de cibersegurança ESET revelou a descoberta de um novo grupo de cibercriminosos alinhado com a China, designado GhostRedirector, responsável por comprometer pelo menos 65 servidores Windows em junho deste ano.
Segundo a investigação, o grupo desenvolveu duas ferramentas inéditas: o backdoor Rungan, capaz de executar comandos em sistemas comprometidos, e o módulo malicioso de Internet Information Services (IIS) Gamshen, criado para manipular os resultados do motor de busca Google, promovendo artificialmente sites ligados ao jogo ilegal.
“O Gamshen apenas altera a resposta enviada ao Googlebot, não afetando diretamente os visitantes comuns. Contudo, compromete a reputação dos sites envolvidos ao associá-los a práticas de SEO fraudulentas”, explicou o investigador da ESET Fernando Tavella.
Além destas ferramentas, o GhostRedirector recorre a exploits já conhecidos, como EfsPotato e BadPotato, para criar utilizadores privilegiados e garantir acesso prolongado às máquinas atacadas. A análise revelou ainda que os servidores comprometidos estavam maioritariamente localizados nos Estados Unidos, mas arrendados por empresas no Brasil, Tailândia e Vietname, regiões que parecem ter sido o principal alvo do grupo.
As vítimas incluem organizações de setores como educação, saúde, transportes, tecnologia e retalho. A ESET acredita que o acesso inicial terá sido conseguido através de vulnerabilidades como injeções SQL, permitindo a instalação de webshells, trojans e outros componentes de controlo remoto.
A atividade do GhostRedirector foi rastreada entre dezembro de 2024 e abril de 2025, com novas infeções identificadas em junho. A ESET notificou todas as entidades afetadas e alerta que o grupo demonstra elevada persistência, com a criação de contas falsas e mecanismos redundantes de acesso para manter o controlo das infraestruturas atacadas.