viernes, septiembre 5, 2025
Lo último:
Seccion Noticias

Noticias que informan y conectan

eset threat research ghostredirector iis malware1
Tecnología

ESET alerta sobre GhostRedirector: la amenaza china que manipula resultados SEO e infecta servidores Windows

SeccioNNoticias

Lima, septiembre de 2025.- El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un nuevo grupo malicioso alineado a China denominado GhostRedirector, que desde junio de este año comprometió al menos 65 servidores Windows, principalmente en Brasil, Perú, Tailandia, Vietnam y Estados Unidos. Su objetivo: manipular los resultados de Google para posicionar sitios de apuestas en línea y mantener un acceso persistente a la infraestructura comprometida.

Según ESET, la magnitud del ataque es considerable, ya que cada servidor maneja miles de peticiones diarias. La investigación reveló que la mayoría de servidores afectados en Estados Unidos pertenecen a empresas con sede en Brasil, Tailandia y Vietnam, lo que sugiere que el interés de los atacantes estaba enfocado en América Latina y el sudeste asiático. Las víctimas se encuentran en sectores diversos como educación, salud, seguros, transporte, tecnología y comercio minorista.

Herramientas personalizadas para fraude SEO

GhostRedirector empleó dos herramientas inéditas:

  • Rungan, un backdoor pasivo en C++ capaz de ejecutar comandos en servidores comprometidos.
  • Gamshen, un módulo malicioso de Internet Information Services (IIS) diseñado para ofrecer “fraude SEO como servicio”. Su función es manipular los resultados de Google, inflando artificialmente el posicionamiento de sitios web, principalmente de apuestas.

Aunque Gamshen solo modifica respuestas para solicitudes de Googlebot y no afecta a usuarios comunes, la participación en este esquema puede dañar la reputación de los sitios legítimos afectados. “El problema no es solo técnico, también reputacional: los servidores comprometidos quedan asociados con actividades fraudulentas”, explicó Fernando Tavella, investigador de ESET responsable del hallazgo.

Evidencias de origen chino

El análisis de ESET muestra que GhostRedirector tiene nexos con China. Entre los indicios se encuentran cadenas de texto en chino dentro del código, el uso de un certificado de firma digital emitido por una empresa china y contraseñas creadas en los servidores que incluyen la palabra huang (“amarillo” en chino).

Los atacantes habrían obtenido acceso inicial a través de vulnerabilidades como inyecciones SQL, para luego desplegar herramientas de escalada de privilegios, múltiples webshells y troyanos de IIS. Estas capacidades permiten ejecutar archivos, manipular servicios de Windows, crear usuarios fraudulentos y mantener el acceso a largo plazo.

GhostRedirector demuestra persistencia al instalar diversas herramientas de acceso remoto y crear cuentas falsas que aseguran la continuidad del ataque en la infraestructura comprometida”, agregó Tavella.

Actividad detectada y recomendaciones

La telemetría de ESET detectó actividad de GhostRedirector entre diciembre de 2024 y abril de 2025, con nuevas víctimas identificadas en junio del presente año. La compañía notificó a los servidores comprometidos y compartió recomendaciones para mitigar los riesgos, disponibles en su informe técnico completo en WeLiveSecurity.com.

Además, ESET invita a los usuarios a informarse sobre las últimas amenazas a través de su podcast Conexión Segura, disponible en Spotify.