Een voorheen onbekende dreigingsactor, die de naam GhostRedirector kreeg toebedeeld, compromitteerde minstens 65 Windows-servers en leverde van daaruit Search Engine Optimization (SEO)-fraude als een criminele dienst voor derden. De oorsprong van de groep is zo goed als zeker Chinees, zegt security-onderzoeker ESET Research.
Windows-servers over de hele wereld werden de afgelopen maanden binnengedrongen en voorzien van twee clandestiene tools: een passieve C++-backdoor die door het Slovaakse securitybedrijf ESET Research Rungan werd genoemd, en Gamshen, een kwaadaardige Internet Information Services (IIS)-module. De eerste kan opdrachten vanop afstand uitvoeren op een gecompromitteerde server, de tweede biedt SEO-fraude as-a-service aan: derden kunnen er de resultaten van de Google-zoekmachine mee manipuleren om zo de pagina-rangschikking van een doelwebsite te verbeteren. Het uiteindelijke doel, zegt ESET: verschillende gokwebsites kunstmatig promoten.
De wereld rond
Minstens 65 servers werden gecompromitteerd, in onder meer de VS, Brazilië, Thailand, Vietnam, Canada, Finland, India, Nederland, de Filipijnen en Singapore. De slachtoffers zijn niet gelinkt aan één specifieke sector, maar aan meerdere, waaronder verzekeringen, gezondheidszorg, detailhandel, transport, technologie en onderwijs. De groep die erachter zit, een nieuwe, werd door ESET GhostRedirector genoemd, en is meer dan waarschijnlijk een bedreigingsactor gelinkt aan China.
De GhostRedirector-intrusies kwamen in december 2024 al op de radar van de onderzoekers, en omdat de ontdekkingen steeds talrijker werden wees een internet-brede scan vanaf juni 2025 op de reikwijdte die de aanval vandaag lijkt te hebben aangenomen.
Plan B
Naast de nieuwe Rungan- en Gamshen-tools blijkt GhostRedirector ook tal van algemeen bekende exploits te hebben gebruikt, zoals EfsPotato en BadPotato. Die laten een clandestiene gebruiker onder meer toe om toegangsprivileges op de server aan te maken waarmee ze nog andere kwaadaardige componenten kunnen downloaden en uit te voeren. Daarmee bouwden de booswichten een zogeheten fallback in: een plan B voor als de Rungan-backdoor of andere kwaadaardige tools zouden worden ontdekt en verwijderd.
Daarmee toont GhostRedirector ‘persistentie en operationele veerkracht’, zegt ESET-onderzoeker Fernando Tavella, die de ontdekkingen deed, ‘door het inzetten van meerdere tools voor externe toegang op de gecompromitteerde server, naast het aanmaken van malafide gebruikersaccounts. Dit gebeurt in een poging om op lange termijn toegang te behouden tot de gecompromitteerde infrastructuur’.