El equipo de ESET Research ha identificado un nuevo grupo de ciberamenazas al que denominó GhostRedirector. En junio de 2025, este actor malicioso comprometió al menos 65 servidores Windows, con mayor presencia en Brasil, Tailandia, Vietnam y Estados Unidos, aunque también se detectaron casos en Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur.

Herramientas personalizadas: Rungan y Gamshen

GhostRedirector se vale de dos desarrollos inéditos hasta la fecha: la backdoor pasiva en C++ llamada Rungan y el módulo malicioso para IIS conocido como Gamshen. Mientras que Rungan permite ejecutar comandos en servidores comprometidos, Gamshen se orienta al fraude SEO como servicio, alterando los resultados del buscador de Google para potenciar de forma artificial sitios de apuestas online.

Según explicó Fernando Tavella, investigador de ESET, “Gamshen solo manipula las respuestas cuando la petición proviene de Googlebot, sin afectar la navegación de usuarios comunes. Sin embargo, la asociación de un sitio con este tipo de fraude puede perjudicar gravemente su reputación”.

Tácticas y técnicas empleadas por GhostRedirector

Además de sus herramientas propias, el grupo ha utilizado exploits conocidos como EfsPotato y BadPotato, con los que crean cuentas privilegiadas en los sistemas comprometidos. Estas cuentas sirven tanto para desplegar más malware con altos privilegios como para garantizar acceso de respaldo si sus puertas traseras son eliminadas.

• Descarga y ejecución de componentes maliciosos.
• Uso de múltiples webshells para mantener el control.
• Escalada de privilegios en servidores Windows.
• Persistencia mediante cuentas falsas y herramientas de acceso remoto.

Regiones y sectores afectados

Aunque los ataques abarcan distintas partes del mundo, la investigación indica que el grupo centra sus esfuerzos en América Latina y el Sudeste Asiático. Los servidores en Estados Unidos parecen estar vinculados con empresas de Brasil, Tailandia y Vietnam, coincidiendo con las principales zonas afectadas.

GhostRedirector no mostró interés en un sector específico, ya que se identificaron víctimas en ámbitos tan diversos como educación, salud, seguros, transporte, tecnología y comercio minorista.

Vector de ataque y persistencia

La telemetría de ESET sugiere que el acceso inicial se obtuvo a través de una vulnerabilidad explotada, posiblemente una inyección SQL. Una vez dentro, los atacantes descargan y ejecutan diversas utilidades: desde malware de escalada de privilegios hasta backdoors y troyanos para IIS. Entre las funciones de Rungan se incluyen comunicación en red, ejecución de archivos, listado de directorios y manipulación de claves de registro en Windows.

De acuerdo con Tavella, “GhostRedirector muestra una notable persistencia al desplegar varias herramientas de acceso remoto y generar cuentas falsas para mantener la infraestructura bajo su control a largo plazo”.

Periodo de actividad y medidas

Los ataques fueron registrados entre diciembre de 2024 y abril de 2025, con nuevas víctimas identificadas en junio de 2025 tras un escaneo global de internet. ESET notificó a los afectados y publicó un informe técnico con medidas de mitigación para reducir riesgos futuros.