A equipa de investigação da ESET, a maior empresa europeia de cibersegurança, descobriu um novo agente de ameaças, ao qual deu o nome de GhostRedirector. Em junho de 2025, este agente de ameaças comprometeu pelo menos 65 servidores Windows.
GhostRedirector: agente de ameaças alinhado com a China
O GhostRedirector utilizou duas ferramentas personalizadas anteriormente não documentadas: um backdoor C++ passivo a que a ESET deu o nome de Rungan e um módulo malicioso do Internet Information Services (IIS) que apelidou de Gamshen.
O GhostRedirector é muito provavelmente um agente de ameaças alinhado com a China. Enquanto o Rungan tem a capacidade de executar comandos num servidor comprometido, o objetivo do Gamshen é providenciar fraude de SEO como serviço para manipular os resultados do motor de busca Google, aumentando a classificação da página de um site-alvo configurado. O seu objetivo é promover artificialmente vários sites de jogos de azar.
Embora o Gamshen apenas modifique a resposta quando a solicitação vem do Googlebot, ou seja, não veicula conteúdo malicioso nem afeta os visitantes regulares dos sites, a participação no esquema de fraude de SEO pode prejudicar a reputação do site comprometido, associando-o a técnicas de SEO duvidosas, bem como aos sites impulsionados
explica o investigador da ESET Fernando Tavella, que fez a descoberta.
Além do Rungan e do Gamshen, o GhostRedirector também utiliza uma série de outras ferramentas personalizadas, além dos exploits publicamente conhecidos EfsPotato e BadPotato, para criar um utilizador privilegiado no servidor que pode ser usado para descarregar e executar outros componentes maliciosos com privilégios mais elevados.
Também pode ser usado como um recurso alternativo caso o backdoor Rungan ou outras ferramentas maliciosas sejam removidas do servidor comprometido.
Embora as vítimas estejam em diferentes regiões geográficas, a maioria dos servidores comprometidos localizados nos Estados Unidos parece ter sido alugada para empresas sediadas no Brasil, Tailândia e Vietname, onde a maioria dos outros servidores comprometidos está realmente localizada.
Assim, a ESET acredita que o GhostRedirector estava mais interessado em atacar vítimas na América Latina e no Sudeste Asiático. O GhostRedirector não demonstrou interesse num setor ou área específica; em vez disso, a ESET identificou vítimas em vários setores, incluindo educação, saúde, seguros, transportes, tecnologia e retalho.
Com base na telemetria da ESET, o GhostRedirector obtém acesso inicial às suas vítimas explorando uma vulnerabilidade, provavelmente uma injeção SQL. Os atacantes comprometem um servidor Windows e, em seguida, descarregam e executam várias ferramentas maliciosas: uma ferramenta de escalonamento de privilégios, malware que instala vários webshells ou o já mencionado backdoor e o trojan IIS.
Além do objetivo óbvio das ferramentas de escalonamento de privilégios, elas também podem ser usadas como um plano alternativo caso o grupo perca o acesso ao servidor comprometido. Os recursos do backdoor incluem comunicação de rede, execução de ficheiros, listagem de diretórios e manipulação de serviços e chaves de registo do Windows.
“O GhostRedirector também demonstra persistência e resiliência operacional ao implantar várias ferramentas de acesso remoto no servidor comprometido, além de criar contas de utilizador fraudulentas, tudo num esforço para manter o acesso de longo prazo à infraestrutura comprometida”, disse Tavella.
A telemetria da ESET detetou ataques do GhostRedirector entre dezembro de 2024 e abril de 2025, e uma análise em toda a Internet realizada em junho de 2025 identificou mais vítimas. A ESET notificou todas as vítimas identificadas que descobriu através desta investigação.
