(KIOSKO) -> Descárgate la revista online de Byte TI y accede a todo el contenido
Comunidad de Byte TI

Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

Únete a la Comunidad Byte TI
Eexploits contra Windows y Linux

GhostRedirector: así es la nueva amenaza que manipula los resultados de Google

Por /

Un hallazgo reciente de ESET Research ha destapado la actividad de un grupo de cibercriminales al que los investigadores han bautizado como GhostRedirector. Desde junio de 2025, este actor ha comprometido al menos 65 servidores Windows en distintos países, con especial incidencia en Brasil, Tailandia, Vietnam y Estados Unidos. El ataque también se extendió a Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur.

La operación destaca por la combinación de espionaje digital y manipulación del posicionamiento web en Google, con un claro objetivo: desviar tráfico hacia páginas de apuestas online mediante técnicas fraudulentas de SEO.

Herramientas inéditas para un fraude global

GhostRedirector empleó dos piezas de malware nunca vistas hasta ahora. La primera es Rungan, una puerta trasera pasiva en C++ diseñada para ejecutar comandos en los servidores comprometidos. La segunda, Gamshen, es un módulo malicioso para Internet Information Services (IIS) que modifica de manera selectiva las respuestas de los servidores infectados.

¿Cómo han mejorado las empresas el proceso de compra con AWS Marketplace?
Descúbrelo en este webinar bajo demanda de AWS

Lo llamativo de Gamshen es que únicamente altera el contenido cuando la solicitud proviene de Googlebot, es decir, el rastreador de Google. Así consigue manipular los resultados de búsqueda sin que los visitantes habituales perciban ningún cambio.

“Participar en un esquema de fraude SEO puede dañar seriamente la reputación del sitio, al asociarlo con técnicas ilícitas y con páginas poco fiables”, explica Fernando Tavella, investigador de ESET que lideró el descubrimiento.

Las víctimas se localizan principalmente en Brasil, Tailandia, Vietnam y Estados Unidos, aunque también se han identificado casos en Europa

Tácticas de intrusión y alcance de los ataques

¿Juegas al Golf? ¡Únete a la comunidad de Golf y Tecnología de Byte TI! Disfrutarás de Partidos Exclusivos, Torneos, Networking y mucho más.

Además de estas herramientas inéditas, el grupo se ha apoyado en exploits ya conocidos, como EfsPotato y BadPotato, para crear cuentas privilegiadas dentro de los servidores y asegurar un acceso prolongado. Según la telemetría de ESET, el vector inicial más probable fue una inyección SQL.

Las víctimas pertenecen a sectores muy diversos, desde educación y sanidad hasta transporte, tecnología, seguros o comercio minorista, lo que indica que los atacantes no estaban centrados en una industria específica. La mayoría de los servidores afectados en Estados Unidos habrían sido alquilados a empresas con sede en Brasil, Tailandia y Vietnam, lo que confirma un mayor interés en América Latina y el Sudeste Asiático.

Persistencia y resiliencia del ataque

Una vez dentro de la infraestructura, GhostRedirector despliega varias herramientas para mantener el control. Entre ellas se incluyen webshells, mecanismos de escalada de privilegios y la creación de cuentas de usuario falsas. Con ello, el grupo asegura la persistencia incluso si alguna de sus puertas traseras es eliminada.

“GhostRedirector muestra una notable resiliencia operativa al utilizar diferentes vías de acceso remoto, lo que le permite sobrevivir a intentos de limpieza y mantener la actividad en los sistemas infectados”, añade Tavella.

Los ataques documentados comenzaron en diciembre de 2024 y se extendieron hasta abril de 2025, aunque nuevos casos fueron detectados en junio gracias a un escaneo global. ESET notificó a todos los afectados e hizo públicas medidas de mitigación en un informe técnico.

Entradas relacionadas

Deja un comentario

Scroll al inicio