Os investigadores da ESET descobriram um novo grupo de cibercriminosos, denominado GhostRedirector. Em junho, este grupo comprometeu pelo menos 65 servidores Windows, principalmente em países como Brasil, Tailândia, Vietname e Estados Unidos. Outras regiões afetadas incluem Canadá, Finlândia, Índia, Países Baixos, Filipinas e Singapura.
Acredita-se que o grupo esteja muito provavelmente alinhado com a China. Embora as vítimas estejam em diferentes regiões geográficas, a maioria dos servidores comprometidos nos Estados Unidos parece ter sido “alugada” para empresas sediadas no Brasil, Tailândia e Vietname, onde se encontram a maioria dos outros servidores afetados.
Os investigadores acreditam que o grupo estava especialmente interessado em atacar vítimas na América Latina e no Sudeste Asiático. Os atacantes não se concentraram em um setor específico, tendo vítimas identificadas em diversos setores, incluindo educação, saúde, seguros, transportes, tecnologia e retalho.
De acordo com a equipa, o grupo utilizou duas ferramentas personalizadas até agora desconhecidas: um backdoor C++ passivo, denominado Rungan, e um módulo malicioso do Internet Information Services (IIS), chamado Gamshen. O Rungan possui a capacidade de executar comandos nos servidores comprometidos, enquanto o Gamshen serve para manipular os resultados do motor de busca da Google, aumentando a classificação de determinadas páginas, como sites de jogos de azar, em um esquema conhecido como “SEO fraud”.
Além dessas ferramentas, o grupo GhostRedirector ainda faz uso de exploits previamente conhecidos, como EfsPotato e BadPotato, para criar um utilizador privilegiado no servidor, facilitando a descarga e execução de outros componentes maliciosos com privilégios elevados.
Dados de telemetria da ESET indicam que o grupo consegue acesso inicial aos servidores das vítimas ao explorar uma vulnerabilidade, provavelmente através de uma injeção SQL. Após comprometer um servidor, os atacantes conseguem descarregar e executar várias ferramentas maliciosas.
O grupo demonstra persistentemente resiliência operacional ao implantar diversas ferramentas de acesso remoto no servidor comprometido, além de criar contas de utilizador fraudulentas, visando manter um acesso de longo prazo à infraestrutura afetada. Inicialmente, os ataques do GhostRedirector foram detectados entre dezembro de 2024 e abril de 2025. Em junho, uma análise mais aprofundada revelou mais vítimas, todas notificadas pela empresa de cibersegurança.
