El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un nuevo actor malicioso alineado a China, al que ha bautizado como GhostRedirector. En junio de 2025, este actor malicioso comprometió al menos 65 servidores Windows, principalmente en Brasil, Perú, Tailandia, Vietnam y Estados Unidos. Cada uno de estos servidores maneja miles de peticiones por lo que el alcance y magnitud de este tipo de amenazas es incalculable.
Las víctimas identificadas se encuentran en diferentes regiones geográficas, la mayoría de los servidores comprometidos ubicados en Estados Unidos parecen haber sido alquilados a empresas con sede en Brasil, Tailandia y Vietnam, donde se encuentran el resto de los servidores comprometidos. Debido a esto, desde ESET suponen que el interés era atacar a víctimas de América Latina y el sudeste asiático. A su vez, GhostRedirector no parece apuntar a un ámbito concreto, ya que ESET identificó víctimas en múltiples sectores, entre ellos educación, salud, seguros, transporte, tecnología y comercio minorista.
GhostRedirector utilizó dos herramientas personalizadas y hasta ahora desconocidas: un backdoor pasivo en C++ al que ESET bautizó como Rungan, que tiene la capacidad de ejecutar comandos en un servidor comprometido. Por otro lado, un módulo malicioso de Internet Information Services (IIS) al que denominaron Gamshen, cuyo propósito es proporcionar fraude SEO (Search Engine Optimization) como servicio” para manipular los resultados del motor de búsqueda de Google, aumentando el ranking de sitios webs objetivos configurados. El objetivo es promocionar artificialmente varios sitios web de apuestas.
«Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de Googlebot, es decir, no sirve contenido malicioso ni afecta de otro modo a los visitantes habituales de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas SEO fraudulentas, así como con los sitios web impulsados», explica el investigador de ESET, Fernando Tavella, quien hizo el descubrimiento.
GhostRedirector, según ESET, es probablemente un agente malicioso, desconocido al momento, alineado con China. Esto se basa en que varias muestras de herramientas tienen cadenas chinas codificadas, asimismo en el ataque se utilizó un certificado de firma de código emitido por una empresa china, y en que una de las contraseñas de los usuarios creados por GhostRedirector en el servidor comprometido contiene la palabra huang, que en chino significa amarillo.
A su vez, según la telemetría de ESET, GhostRedirector probablemente obtiene el acceso inicial a sus víctimas aprovechando una vulnerabilidad, de una inyección SQL. Los atacantes comprometen un servidor Windows y, a continuación, descargan y ejecutan varias herramientas maliciosas: una herramienta de escalada de privilegios, malware que descarga múltiples webshells o backdoor, y el troyano IIS. Además del propósito obvio de las herramientas de escalada de privilegios, también pueden utilizarse como respaldo en caso de que el grupo pierda el acceso al servidor comprometido. Las capacidades de backdoor incluyen la comunicación en red, la ejecución de archivos, el listado de directorios y la manipulación tanto de los servicios como de las claves del registro de Windows.
«GhostRedirector también demuestra persistencia y resiliencia operativa al implementar múltiples herramientas de acceso remoto en el servidor comprometido, además de crear cuentas de usuario fraudulentas, todo ello con el fin de mantener el acceso a largo plazo en la infraestructura comprometida», afirma Tavella.
La telemetría de ESET detectó ataques de GhostRedirector entre diciembre de 2024 y abril de 2025, y un análisis de todo Internet realizado en junio de 2025 identificó más víctimas. ESET notificó el compromiso a todas las víctimas identificadas en el análisis. Las recomendaciones para mitigar el problema se pueden encontrar en el informe técnico completo publicado anteriormente.
Para obtener un análisis más detallado y un desglose técnico de GhostRedirector, consulte la última entrada del blog de ESET Research, «GhostRedirector manipula resultados SEO en Google e infecta servidores Windows», en WeLiveSecurity.com.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
