I ricercatori di ESET, specialista europeo globale nel mercato della cybersecurity, hanno scoperto un nuovo threat actor, che hanno denominato GhostRedirector. Nel giugno 2025, questo gruppo ha compromesso almeno 65 server Windows, localizzati principalmente in Brasile, Thailandia, Vietnam e Stati Uniti. Altre vittime sono state individuate in Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore.
GhostRedirector ha utilizzato due strumenti personalizzati e finora non documentati: una backdoor passiva in C++, che ESET ha chiamato Rungan, e un modulo Internet Information Services (IIS) malevolo, denominato Gamshen. GhostRedirector è con ragionevole certezza un threat actor legato alla Cina. Se Rungan consente agli attaccanti di eseguire comandi sul server compromesso, Gamshen è invece progettato per realizzare frodi SEO in modalità as-a-service: manipola i risultati di ricerca di Google per migliorare artificialmente il posizionamento di determinati siti web, con l’obiettivo di promuovere soprattutto portali di scommesse online.
“Anche se Gamshen modifica la risposta solo quando la richiesta proviene da Googlebot — ovvero non serve contenuti malevoli né influisce sulla navigazione dei visitatori abituali — la partecipazione a questo schema di frodi SEO può danneggiare la reputazione del sito compromesso, associandolo a pratiche SEO scorrette e ai siti che ne beneficiano”, ha spiegato Fernando Tavella, ricercatore di ESET che ha effettuato la scoperta.
Oltre a Rungan e Gamshen, GhostRedirector impiega anche altri strumenti personalizzati, oltre agli exploit noti come EfsPotato e BadPotato. Questi vengono usati per creare un account con privilegi elevati sul server compromesso. L’account consente agli attaccanti di scaricare ed eseguire ulteriori componenti malevoli con diritti amministrativi e, allo stesso tempo, rappresenta una via di accesso alternativa nel caso in cui Rungan o altri strumenti venissero rimossi dal sistema.
Sebbene le vittime siano distribuite in diverse aree geografiche, la maggior parte dei server compromessi localizzati negli Stati Uniti risulta essere stata noleggiata da aziende con sede in Brasile, Thailandia e Vietnam, gli stessi Paesi in cui si trovano la maggioranza delle vittime. Per questo motivo, ESET Research ritiene che l’interesse di GhostRedirector fosse rivolto principalmente a bersagli in America Latina e nel Sud-est asiatico. GhostRedirector non ha mostrato preferenze verso un settore verticale specifico; ESET ha infatti identificato vittime in più comparti, tra cui educazione, sanità, assicurazioni, trasporti, tecnologia e retail.
Secondo la telemetria ESET, GhostRedirector ottiene probabilmente l’accesso iniziale alle vittime sfruttando una vulnerabilità, con tutta probabilità una SQL Injection. Dopo aver compromesso un server Windows, gli attaccanti scaricano ed eseguono diversi strumenti malevoli: un tool di escalation dei privilegi, un malware che installa più webshell o le già menzionate backdoor e trojan per IIS. Oltre all’evidente scopo di aumentare i privilegi, questi strumenti possono essere utilizzati anche come accesso di riserva nel caso il gruppo perdesse il controllo del server. Le funzionalità della backdoor includono comunicazioni di rete, esecuzione di file, consultazione delle directory e manipolazione di Servizi e chiavi del registro di Windows.
“GhostRedirector dimostra inoltre persistenza e resilienza operativa distribuendo più strumenti di accesso remoto sui server compromessi e creando account utente fasulli, nel tentativo di mantenere l’accesso a lungo termine alle infrastrutture violate,” ha aggiunto Tavella.
La telemetria di ESET ha rilevato attacchi riconducibili a GhostRedirector tra dicembre 2024 e aprile 2025, e una scansione internet su larga scala condotta a giugno 2025 ha permesso di identificare ulteriori vittime. ESET ha informato tutte le vittime individuate tramite la scansione riguardo al compromesso subito. Le raccomandazioni di mitigazione sono descritte in un white paper già disponibile.
