El grupo de ciberamenazas utiliza herramientas inéditas para desplegar puertas traseras y explotar servidores IIS en campañas de fraude SEO.
El equipo Eset Research acaba de identificar a un nuevo actor de amenazas alineado con China conocido como GhostRedirector. Un grupo que, según la compañía especializada en ciberseguridad, ha comprometido al menos 65 servidores Windows durante el pasado junio de 2025, con víctimas en Brasil, Tailandia, Vietnam y Estados Unidos, además de otros casos detectados en Canadá, Finlandia, India, Países Bajos, Filipinas, Singapur y algunos países europeos.
Además, Eset destaca que GhostRedirector cuenta con dos herramientas propias, Rungan y Gamshen, hasta ahora desconocidas. La primera se trata es una puerta trasera pasiva en C++ con capacidad para ejecutar comandos, manipular servicios y acceder a claves del registro de Windows; mientras que Gamshen es un módulo malicioso para Internet Information Services (IIS), que se utiliza en esquemas de fraude SEO como servicio, alterando los resultados de búsqueda de Google para promocionar fraudulentamente sitios de apuestas online.
Según advierte Fernando Tavella, investigador de Eset, “aunque Gamshen solo modifica las respuestas cuando la petición procede de Googlebot, la participación en fraudes SEO puede dañar gravemente la reputación de un sitio al vincularlo con prácticas ilícitas y páginas poco fiables”.
Tácticas de intrusión
Por otra parte, el grupo también combina sus herramientas inéditas con exploits ya conocidos, como EfsPotato y BadPotato, para crear usuarios privilegiados y asegurar acceso persistente a los sistemas comprometidos. Entre sus técnicas destacan la escalada de privilegios mediante exploits públicos, la instalación de múltiples webshells y backdoors para resiliencia operativa, la creación de cuentas falsas y el uso de inyecciones SQL como probable vector inicial de ataque.
Aunque la actividad maliciosa se detecta en diferentes países, los investigadores de Eset concluyen que los objetivos principales de GhostRedirector están en América Latina y el Sudeste Asiático. No existe un patrón sectorial definido: las víctimas se reparten entre seguros, sanidad, educación, transporte, tecnología y retail.
Persistencia y alcance global
Los ataques atribuidos a GhostRedirector se produjeron entre diciembre de 2024 y abril de 2025, con nuevas infecciones descubiertas en junio del mismo año durante un escaneo global de Eset. La compañía ya notificó a los afectados e incluyó recomendaciones de mitigación en un informe técnico disponible en su blog.
Más en detalle y según la telemetría de Eset, es probable que GhostRedirector obtenga acceso inicial a sus víctimas explotando una vulnerabilidad, muy probablemente una inyección SQL. Tras comprometer un servidor Windows, los atacantes descargan y ejecutan diversas herramientas maliciosas: una herramienta para la escalada de privilegios, malware que despliega múltiples webshells, o bien la mencionada puerta trasera y el troyano para IIS. Además de su propósito evidente de escalar privilegios, estas herramientas pueden servir como respaldo en caso de que el grupo pierda acceso al servidor comprometido.
Entre las capacidades de la puerta trasera se incluyen la comunicación a través de la red, la ejecución de archivos, el listado de directorios y la manipulación de servicios y claves del registro de Windows. “GhostRedirector también muestra persistencia y resiliencia operativa al desplegar múltiples herramientas de acceso remoto y crear cuentas de usuario falsas, con el fin de mantener el acceso a largo plazo a la infraestructura comprometida”, añade Tavella.
Eset Research ha publicado un análisis detallado en su blog WeLiveSecurity.com, que incluye indicadores de compromiso, descripciones técnicas y medidas de mitigación para los administradores de sistemas. Más información y acceso al informe en GhostRedirector envenena servidores Windows: puertas traseras con guarnición de patatas