ESET Forscher haben einen neuen Bedrohungsakteur entdeckt: GhostRedirector. Die Gruppe kompromittierte mindestens 65 Windows-Server, vor allem in Brasilien, Thailand und Vietnam. Die Kampagne lief spätestens seit Dezember 2024. Hinweise deuten auf Aktivität seit August 2024. Ziel ist die Ausführung von Befehlen auf Servern und der Missbrauch von SEO-Mechanismen.
Werkzeuge & Technik
GhostRedirector nutzt zwei Eigenentwicklungen: die passive C++-Backdoor Rungan und das bösartige IIS-Modul Gamshen. Rungan führt Befehle auf kompromittierten Systemen aus. Gamshen betreibt „SEO-Betrug als Service“. Es manipuliert Suchergebnisse und verbessert das Ranking konfigurierter Zielseiten. Antworten werden nur für den Googlebot angepasst. Normale Besucher sehen keine Schadinhalte, doch der Ruf der Host-Website leidet. Gamshen ist als natives IIS-Modul umgesetzt. IIS unterstützt native C++-DLLs und .NET-Erweiterungen und wird häufig von Malware missbraucht. GhostRedirector setzt zusätzlich EfsPotato und BadPotato ein, um Privilegien zu erhöhen und einen administrativen Fallback-Account zu schaffen. So lassen sich weitere Komponenten mit höheren Rechten nachladen, falls Rungan oder andere Tools entfernt werden.
Verbreitung
Die Opfer stammen aus vielen Branchen: Versicherung, Gesundheitswesen, Einzelhandel, Transport, Technologie und Bildung. Besonders betroffen sind Brasilien, Peru, Thailand, Vietnam und die USA; weitere Fälle gab es in Kanada, Finnland, Indien, den Niederlanden, den Philippinen und Singapur. Wir sehen mit mittlerer Sicherheit einen China-Bezug. Dafür sprechen hart codierte chinesische Zeichenfolgen, ein Zertifikat eines chinesischen Unternehmens und ein gesetztes Passwort mit „huang“. Überschneidungen mit dem von Cisco Talos beschriebenen DragonRank sind vorhanden, doch wir werten beide Kampagnen als opportunistisch und unabhängig.
Eine tiefgehender technische Analyse finden Sie im englischsprachigen Original-Blogpost.
