- Un grupo chino llamado GhostRedirector ha secuestrado 65 servidores Windows.
- Utilizan malware nuevo, Rungan y Gamshen, para manipular los resultados de búsqueda de Google.
- Los ataques se centran en servidores de Latinoamérica y Asia del Sur, afectando a diversas industrias.
Un grupo de hackers chinos ha secuestrado al menos 65 servidores Windows para manipular los resultados de búsqueda de Google, beneficiando a sitios web de apuestas de dudosa reputación. Los investigadores de ESET han identificado esta operación, denominada GhostRedirector, que comenzó en diciembre de 2024. Los atacantes emplean dos nuevas herramientas maliciosas: Rungan, un backdoor, y Gamshen, un troyano diseñado para modificar las respuestas HTTP dirigidas específicamente al rastreador web de Google (Googlebot).
El objetivo principal de Gamshen es inyectar contenido o enlaces de forma artificial para mejorar el posicionamiento SEO de los sitios de apuestas en los resultados de Google. Una característica notable de este troyano es su sigilo, ya que los visitantes habituales no notan la intrusión, y los propietarios de los sitios afectados solo suelen percatarse cuando sus rankings de SEO caen o Google marca el sitio por comportamiento sospechoso. Los servidores comprometidos se localizan principalmente en Brasil, Perú, Tailandia y Vietnam, aunque también se han detectado ataques en Estados Unidos, sugiriendo una preferencia por servidores sudamericanos y asiáticos.
Los ataques no se dirigen a una industria específica, habiendo afectado a servidores en los sectores educativo, sanitario, de seguros, transporte, tecnológico y minorista. Se sospecha que el acceso inicial se logró mediante la explotación de vulnerabilidades de inyección SQL. Posteriormente, los atacantes utilizaron PowerShell para descargar herramientas de escalada de privilegios y droppers, culminando en la instalación de Rungan y Gamshen para la fase final del ataque. La información sobre esta operación proviene de un informe de The Register.