• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Speciale Stampanti
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Phantom squatting: la nuova minaccia cyber sfrutta le allucinazioni dell’intelligenza artificiale
    • PitchMate: Infobip lancia l’assistente AI per i tifosi di calcio di tutto il mondo
    • Email fasulle Interpol diffondono ransomware: nel mirino le PMI
    • Cloud sovrano europeo: Check Point porta il Cloud Firewall su AWS European Sovereign Cloud
    • Nasce un nuovo player europeo per la trasformazione digitale: Havant completa l’acquisizione di Intesa
    • AI nelle imprese italiane: oltre il 90% fatica a portarla a regime
    • TXT acquisisce GCI e lancia TXT Digital Edge per rafforzare networking, data center e cybersecurity
    • Kaspersky: le minacce cyber che sfuggono alle aziende per mesi
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»GhostRedirector manipola Google e infetta server Windows con backdoor

    GhostRedirector manipola Google e infetta server Windows con backdoor

    By Redazione LineaEDP12/09/20253 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    ESET scopre un nuovo gruppo di minaccia cinese denominato GhostRedirector

    cybersecurity-GhostRedirector-saas

    I ricercatori di ESET, specialista europeo globale nel mercato della cybersecurity, hanno scoperto un nuovo threat actor, che hanno denominato GhostRedirector. Nel giugno 2025, questo gruppo ha compromesso almeno 65 server Windows, localizzati principalmente in Brasile, Thailandia, Vietnam e Stati Uniti. Altre vittime sono state individuate in Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore.

    GhostRedirector ha utilizzato due strumenti personalizzati e finora non documentati: una backdoor passiva in C++, che ESET ha chiamato Rungan, e un modulo Internet Information Services (IIS) malevolo, denominato Gamshen. GhostRedirector è con ragionevole certezza un threat actor legato alla Cina. Se Rungan consente agli attaccanti di eseguire comandi sul server compromesso, Gamshen è invece progettato per realizzare frodi SEO in modalità as-a-service: manipola i risultati di ricerca di Google per migliorare artificialmente il posizionamento di determinati siti web, con l’obiettivo di promuovere soprattutto portali di scommesse online.

    “Anche se Gamshen modifica la risposta solo quando la richiesta proviene da Googlebot — ovvero non serve contenuti malevoli né influisce sulla navigazione dei visitatori abituali — la partecipazione a questo schema di frodi SEO può danneggiare la reputazione del sito compromesso, associandolo a pratiche SEO scorrette e ai siti che ne beneficiano”, ha spiegato Fernando Tavella, ricercatore di ESET che ha effettuato la scoperta.

    Oltre a Rungan e Gamshen, GhostRedirector impiega anche altri strumenti personalizzati, oltre agli exploit noti come EfsPotato e BadPotato. Questi vengono usati per creare un account con privilegi elevati sul server compromesso. L’account consente agli attaccanti di scaricare ed eseguire ulteriori componenti malevoli con diritti amministrativi e, allo stesso tempo, rappresenta una via di accesso alternativa nel caso in cui Rungan o altri strumenti venissero rimossi dal sistema.

    Sebbene le vittime siano distribuite in diverse aree geografiche, la maggior parte dei server compromessi localizzati negli Stati Uniti risulta essere stata noleggiata da aziende con sede in Brasile, Thailandia e Vietnam, gli stessi Paesi in cui si trovano la maggioranza delle vittime. Per questo motivo, ESET Research ritiene che l’interesse di GhostRedirector fosse rivolto principalmente a bersagli in America Latina e nel Sud-est asiatico. GhostRedirector non ha mostrato preferenze verso un settore verticale specifico; ESET ha infatti identificato vittime in più comparti, tra cui educazione, sanità, assicurazioni, trasporti, tecnologia e retail.

    Secondo la telemetria ESET, GhostRedirector ottiene probabilmente l’accesso iniziale alle vittime sfruttando una vulnerabilità, con tutta probabilità una SQL Injection. Dopo aver compromesso un server Windows, gli attaccanti scaricano ed eseguono diversi strumenti malevoli: un tool di escalation dei privilegi, un malware che installa più webshell o le già menzionate backdoor e trojan per IIS. Oltre all’evidente scopo di aumentare i privilegi, questi strumenti possono essere utilizzati anche come accesso di riserva nel caso il gruppo perdesse il controllo del server. Le funzionalità della backdoor includono comunicazioni di rete, esecuzione di file, consultazione delle directory e manipolazione di Servizi e chiavi del registro di Windows.

    “GhostRedirector dimostra inoltre persistenza e resilienza operativa distribuendo più strumenti di accesso remoto sui server compromessi e creando account utente fasulli, nel tentativo di mantenere l’accesso a lungo termine alle infrastrutture violate,” ha aggiunto Tavella.

    La telemetria di ESET ha rilevato attacchi riconducibili a GhostRedirector tra dicembre 2024 e aprile 2025, e una scansione internet su larga scala condotta a giugno 2025 ha permesso di identificare ulteriori vittime. ESET ha informato tutte le vittime individuate tramite la scansione riguardo al compromesso subito. Le raccomandazioni di mitigazione sono descritte in un white paper già disponibile.

     

    Eset GhostRedirector
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Phantom squatting: la nuova minaccia cyber sfrutta le allucinazioni dell’intelligenza artificiale

    03/07/2026

    Email fasulle Interpol diffondono ransomware: nel mirino le PMI

    03/07/2026

    Cloud sovrano europeo: Check Point porta il Cloud Firewall su AWS European Sovereign Cloud

    03/07/2026
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    TrendAI rafforza l’ecosistema: partnership, competenze e innovazione per la cybersecurity del futuro
    TrendAI punta sul canale: competenze, consulenza e servizi gestiti al centro della strategia
    Perché sono importanti i protocolli?
    Titanium: l’evoluzione del Motion Control
    IA in azienda: obblighi normativi, governance e protezione dei dati
    Defence Tech

    Phantom squatting: la nuova minaccia cyber sfrutta le allucinazioni dell’intelligenza artificiale

    03/07/2026

    Email fasulle Interpol diffondono ransomware: nel mirino le PMI

    03/07/2026

    Cloud sovrano europeo: Check Point porta il Cloud Firewall su AWS European Sovereign Cloud

    03/07/2026

    Kaspersky: le minacce cyber che sfuggono alle aziende per mesi

    02/07/2026
    Report

    IA in crescita, ma il ROI dipende dalla preparazione delle persone

    29/06/2026

    LLM e Cybersecurity: la fiducia nell’AI può diventare un rischio

    23/06/2026

    AI sul lavoro: la vera sfida non è adottarla, ma trasformarla in valore

    23/06/2026

    Agenti AI: cresce la fiducia dei consumatori, ma resta aperta la sfida della scalabilità

    23/06/2026
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    LineaEDP è una testata giornalistica appartenente al gruppo BitMAT Edizioni, una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2026 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.