Descubren a GhostRedirector, la nueva amenaza cibernética que manipula resultados de búsqueda

ESET Research ha identificado a un nuevo actor de amenazas, al que ha denominado GhostRedirector. Este descubrimiento se realizó en junio de 2025, cuando se detectó que este grupo había comprometido al menos 65 servidores Windows, principalmente en Brasil, Tailandia, Vietnam y Estados Unidos. Sin embargo, la lista de víctimas no se limita a estos países, ya que también se han reportado incidentes en Canadá, Finlandia, India, los Países Bajos, Filipinas y Singapur. La amplia geografía de las víctimas sugiere un enfoque global por parte de este actor, lo que podría indicar su capacidad para operar en diversas regiones del mundo.

GhostRedirector ha utilizado dos herramientas personalizadas que no habían sido documentadas previamente. La primera de ellas es una puerta trasera pasiva escrita en C++, que ESET ha nombrado Rungan. Esta herramienta permite a los atacantes ejecutar comandos en un servidor comprometido, lo que les da un control considerable sobre los sistemas afectados. La segunda herramienta, conocida como Gamshen, es un módulo malicioso para Internet Information Services (IIS), diseñado específicamente para facilitar el fraude SEO como un servicio. Este tipo de actividad es particularmente preocupante, ya que se dirige a la manipulación de los resultados de búsqueda de Google, lo que puede tener un impacto significativo en la visibilidad de los sitios web.

El objetivo principal de GhostRedirector parece ser la promoción artificial de varios sitios de apuestas. Al manipular los resultados de búsqueda para mejorar el posicionamiento de estos sitios, el grupo no solo busca beneficiarse económicamente, sino que también pone en riesgo la integridad de los resultados que los usuarios esperan recibir de los motores de búsqueda. La manipulación de resultados de búsqueda puede llevar a que los usuarios accedan a sitios no seguros o fraudulentos, lo que pone en riesgo su información personal y financiera.

Se sospecha que GhostRedirector tiene vínculos con actores alineados a China, lo que añade una capa de complejidad a esta amenaza. La posibilidad de que este grupo esté respaldado por un estado o tenga conexiones con intereses políticos en la región es motivo de preocupación para las autoridades cibernéticas. La combinación de herramientas avanzadas y un enfoque en la manipulación de SEO sugiere que GhostRedirector es un actor bien financiado y organizado, capaz de llevar a cabo operaciones sofisticadas en el ciberespacio.

La detección de GhostRedirector y sus métodos subraya la necesidad de que las organizaciones y los individuos se mantengan alerta ante las amenazas cibernéticas. La seguridad de los servidores y la protección contra el acceso no autorizado son esenciales para prevenir compromisos que puedan tener consecuencias devastadoras. Además, las empresas deben prestar especial atención a su presencia en línea y considerar medidas para proteger su reputación y la integridad de sus sitios web frente a estas tácticas de manipulación.

En conclusión, el descubrimiento de GhostRedirector por parte de ESET Research revela la evolución de las amenazas cibernéticas y la creciente sofisticación de los actores maliciosos. A medida que el panorama de la ciberseguridad continúa cambiando, es fundamental que tanto las organizaciones como los usuarios individuales se mantengan informados y proactivos en la protección de sus activos digitales. La lucha contra el fraude en línea y la manipulación de resultados de búsqueda es una batalla constante que requiere vigilancia continua y una respuesta rápida ante cualquier indicio de actividad sospechosa.