El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, ha descubierto un nuevo grupo malicioso alineado con China, al que han bautizado como GhostRedirector. Este actor comprometió al menos 65 servidores Windows en junio de 2025, principalmente en Brasil, Perú, Tailandia, Vietnam y Estados Unidos.
GhostRedirector utilizó dos herramientas personalizadas y hasta ahora desconocidas: un backdoor pasivo en C++ llamado Rungan, que permite ejecutar comandos en servidores comprometidos, y un módulo malicioso de Internet Information Services (IIS) denominado Gamshen, cuyo propósito es proporcionar fraude SEO (Search Engine Optimization) como servicio para manipular los resultados del motor de búsqueda de Google y promocionar artificialmente sitios web de apuestas.
Alcance y Persistencia de GhostRedirector
Cada uno de los servidores comprometidos maneja miles de peticiones, por lo que el alcance y magnitud de este tipo de amenazas es incalculable. Las víctimas identificadas se encuentran en diferentes regiones geográficas, con la mayoría de los servidores comprometidos ubicados en Estados Unidos, pero alquilados a empresas con sede en Brasil, Tailandia y Vietnam.
Según ESET, GhostRedirector demuestra persistencia y resiliencia operativa al implementar múltiples herramientas de acceso remoto en los servidores comprometidos, además de crear cuentas de usuario fraudulentas, con el fin de mantener el acceso a largo plazo.
Indicios de Origen Chino
ESET considera que GhostRedirector es probablemente un agente malicioso alineado con China, basándose en que varias muestras de herramientas tienen cadenas chinas codificadas, se utilizó un certificado de firma de código emitido por una empresa china, y una de las contraseñas de los usuarios creados contiene la palabra «huang», que en chino significa «amarillo».
Recomendaciones y Mitigación
ESET ha notificado el compromiso a todas las víctimas identificadas y ha publicado un informe técnico completo con recomendaciones para mitigar el problema. Además, invita a conocer su podcast Conexión Segura, donde se aborda lo que está ocurriendo en el mundo de la seguridad informática.
