GhostRedirector: Hackers alinhados com a China manipulam Google e atacam 65 servidores Windows

Os investigadores da ESET descobriram um novo grupo de cibercriminosos, ao qual deram o nome de GhostRedirector. Em junho, o grupo comprometeu, pelo menos, 65 servidores Windows, principalmente em países como Brasil. Tailândia, Vietname e Estados Unidos. Entre as outras regiões que também foram afetadas incluem-se Canadá, Finlândia, Índia, Países Baixos, Filipinas e Singapura.

Acredita-se que o grupo esteja muito provavelmente alinhado com a China. Embora as vítimas estejam em diferentes regiões geográficas, a maioria dos servidores comprometidos nos Estados Unidos parece ter sido “alugado” para empresas sediadas no Brasil, Tailândia e Vietname, onde a maioria dos outros servidores comprometidos está realmente localizada.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Os investigadores acreditam que o grupo estava mais interessado em atacar vítimas na América Latina e no Sudeste Asiático. Os atacantes não demonstraram interesse num sector ou área específica, com vítimas identificadas em vários sectores, incluindo educação, saúde, seguros, transportes, tecnologia e retalho.

De acordo com a equipa, o grupo recorreu a duas ferramentas personalizadas que, até agora, eram desconhecidas: um backdoor C++ passivo, a que a ESET chamou Rungan, e um módulo malicioso do Internet Information Services (IIS) que apelidou de Gamshen.

Por um lado, o Rungan tem a capacidade de executar comandos nos servidores comprometidos. Por outro, o Gamshen serve para manipular os resultados do motor de pesquisa da Google, aumentando a classificação de determinadas páginas, neste caso, websites de jogos de azar, num esquema conhecido como “SEO fraud”.

O grupo GhostRedirector recorre também a outras ferramentas personalizadas, além de exploits anteriormente conhecidos, como EfsPotato e BadPotato, para, por exemplo, criar um utilizador privilegiado no servidor, que pode ser usado para descarregar e executar outros componentes maliciosos com privilégios mais elevados.

Segundo os dados de telemetria da ESET, o grupo obtém acesso inicial aos servidores das vítimas ao explorar uma vulnerabilidade, provavelmente através de uma injeção SQL. Ao comprometerem o servidor, os atacantes descarregam e executam várias ferramentas maliciosas.

Fernando Tavella, investigador da ESET que fez a descoberta, afirma que o grupo “também demonstra persistência e resiliência operacional ao implantar várias ferramentas de acesso remoto no servidor comprometido, além de criar contas de utilizador fraudulentas, tudo num esforço para manter o acesso de longo prazo à infraestrutura comprometida”.

Inicialmente, os investigadores já tinham detetado ataques realizados pelo grupo GhostRedirector foram detectados entre dezembro de 2024 e abril de 2025. Em junho, uma análise mais aprofundada permitiu encontrar mais vítimas, que foram todas notificadas pela empresa de cibersegurança.