ESET descubre nuevo grupo de amenazas chino GhostRedirector que manipula resultados de Google
Portátil ejecutando líneas de código en un entorno de programación | Fotografía Créditos: ESET

ESET descubre nuevo grupo de amenazas chino GhostRedirector que manipula resultados de Google

Jonathan Munizaga Lectura de 2 minutos

El equipo de investigación de ESET ha identificado un nuevo actor malicioso denominado GhostRedirector, alineado con China, que comprometió al menos 65 servidores Windows en Brasil, Perú, Tailandia, Vietnam y Estados Unidos. El grupo opera desde junio de 2025, manipulando resultados de búsqueda de Google para posicionar sitios maliciosos de apuestas mediante técnicas de fraude SEO.

Tácticas y herramientas utilizadas:

  • Backdoor Rungan: Desarrollado en C++, permite ejecutar comandos en servidores comprometidos.
  • Módulo malicioso Gamshen: Infecta Internet Information Services (IIS) para modificar respuestas dirigidas específicamente a Googlebot, artificialmente aumentando el ranking de sitios web de apuestas sin afectar a visitantes regulares.
  • Acceso inicial: Explotación de vulnerabilidades de inyección SQL para comprometer servidores Windows, seguido de descarga de herramientas de escalada de privilegios, webshells y troyanos.

Fernando Tavella, investigador de ESET, explicó: 

"Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de Googlebot, es decir, no sirve contenido malicioso ni afecta de otro modo a los visitantes habituales de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas SEO fraudulentas".
ESET alerta sobre el primer ransomware potenciado por IA
ESET Research, descubrió un nuevo malware que muestra cómo el uso malicioso de modelos de inteligencia artificial podría potenciar el ransomware y otras amenazas.
TabuladoJonathan Munizaga

Evidencia de origen chino:

  • Cadenas en chino codificadas en muestras de herramientas.
  • Certificado de firma de código emitido por una empresa china.
  • Contraseñas que incluyen términos en chino (ej: "huang", que significa "amarillo").

GhostRedirector demuestra persistencia mediante la creación de cuentas de usuario fraudulentas e implementación de múltiples herramientas de acceso remoto para mantener acceso a largo plazo. ESET detectó actividad entre diciembre de 2024 y abril de 2025, y notificó a todas las víctimas identificadas.

Este caso refleja la creciente sofisticación de actores maliciosos en la manipulación de infraestructuras digitales críticas para fines de fraude económico, destacando la necesidad de reforzar la seguridad en servidores públicos y monitorizar actividades anómalas en sistemas IIS.

ESET Google Windows GhostRedirector Fernando Tavella
Jonathan Munizaga

Jonathan Munizaga

Santiago de Chile
Editor y Reviewer de tecnología con 14 años de experiencia. Fanático de la telefonía móvil y tecnología en general. Comunicados a [email protected]. Otras consultas: [email protected].

You might also like

Publicaciones destacadas

Etiquetas

10 Mhz 100 Años 100+ Labs Chile 14a Generación 25 Mujeres en la Ciencia

Últimas publicaciones

Boletín

Recibe las últimas publicaciones directamente en tu bandeja de entrada.
¡Genial! Revise su bandeja de entrada y haga clic en el enlace para confirmar su suscripción.
¡Error! ¡Por favor, introduzca una dirección de correo electrónico válida!

Síguenos