GhostRedirector: Los Oscuros Esquemas de SEO que Acechan a los Servidores Windows

Datos Rápidos

• Al menos 65 servidores Windows comprometidos, principalmente en Brasil, Tailandia y Vietnam (ESET).
• Los atacantes usaron una puerta trasera en C++ (Rungan) y un módulo IIS (Gamshen) para controlar y manipular los servidores.
• Objetivo principal: impulsar el posicionamiento en Google de sitios de apuestas dudosos mediante tácticas fraudulentas de SEO.
• La brecha inicial probablemente fue a través de inyección SQL; los atacantes usaron PowerShell para obtener acceso más profundo.
• Las evidencias apuntan a un grupo de amenazas alineado con China, activo al menos desde agosto de 2024.

Una Nueva Generación de Cibercrimen: Hackeo para Fraude SEO

Imagina despertar y descubrir que tu sitio web, antes una confiable vitrina digital, ahora sirve en secreto los intereses de magnates de apuestas online al otro lado del mundo. Esta es la realidad para decenas de organizaciones afectadas por GhostRedirector, un grupo de hackers recién descubierto y expuesto por ESET a mediados de 2024. Su campaña, una mezcla de robo digital y prestidigitación, ha secuestrado silenciosamente al menos 65 servidores Windows en todo el mundo, convirtiéndolos en cómplices involuntarios de una estafa de alto nivel en motores de búsqueda.

La operación se apoya en dos herramientas principales: Rungan, una puerta trasera sigilosa, y Gamshen, un módulo personalizado para los servidores web Internet Information Services (IIS) de Microsoft. Rungan permanece en segundo plano, esperando señales secretas para ejecutar comandos o crear nuevas cuentas de usuario. Gamshen, por su parte, realiza una magia más sutil: reescribe las respuestas web solo cuando el rastreador de Google visita el sitio, fabricando enlaces para elevar el posicionamiento de la web objetivo. El resultado: los servidores comprometidos canalizan silenciosamente la confianza y el poder de posicionamiento de Google hacia sitios de apuestas cuestionables, mientras que los visitantes habituales permanecen completamente ajenos.

El Teatro Técnico: Cómo GhostRedirector Mueve los Hilos

Según el informe detallado de ESET (compartido con The Hacker News), las intrusiones de GhostRedirector comenzaron probablemente con una inyección SQL, una técnica clásica donde los atacantes engañan a la base de datos para ejecutar comandos maliciosos. Una vez dentro, usaron PowerShell (una potente herramienta de scripting de Windows) para descargar más cargas útiles desde un servidor de preparación y luego desplegaron su arsenal: Rungan, Gamshen y un conjunto de utilidades de apoyo como GoToHTTP (para control remoto) y Zunput (para recopilar información e instalar web shells).

Rungan, escrito en C++, actúa como una llave maestra digital, capaz de crear nuevos usuarios, listar archivos, registrar nuevos puntos de acceso y ejecutar comandos arbitrarios. Gamshen, diseñado como un módulo nativo de IIS, forma parte de la familia de malware conocida como “Grupo 13”, similar al previamente reportado IISerpent. Estos módulos son especialmente insidiosos; se alojan junto al código legítimo del servidor, interceptando el tráfico web y revelando su verdadera naturaleza solo a los motores de búsqueda. Como advirtió Microsoft en 2022, estas extensiones son notoriamente difíciles de detectar y eliminar.

Las huellas de los atacantes apuntan hacia el este. ESET encontró pistas en chino en el código, un certificado de una empresa tecnológica de Shenzhen y una contraseña de cuenta de usuario (“huang”) en mandarín. Esto alinea a GhostRedirector con una tendencia más amplia: grupos de amenazas de habla china como DragonRank han utilizado cada vez más módulos IIS maliciosos para fraude SEO, una táctica documentada por Cisco Talos y Trend Micro en los últimos años.

Por Qué Importa: Reputación, Ingresos y Resiliencia

Para las víctimas, las consecuencias son dobles: sus sitios web corren el riesgo de ser incluidos en listas negras o degradados por Google por alojar trucos de SEO “sospechosos”, y sus sistemas permanecen expuestos a compromisos más profundos. El ataque es en gran parte indiscriminado, afectando sectores desde la salud hasta el comercio minorista y abarcando varios continentes. Los métodos de los criminales - puertas traseras en capas, herramientas de escalada de privilegios y cuentas fraudulentas persistentes - demuestran un nuevo nivel de resiliencia operativa y profesionalismo.

A medida que el cibercrimen y el submundo digital evolucionan, la campaña de GhostRedirector es un recordatorio contundente: la batalla por la reputación y la confianza en línea no solo la libran los mercadólogos y webmasters, sino también los defensores en la primera línea de la ciberseguridad.

WIKICROOK

• Backdoor: Una puerta trasera es una forma oculta de acceder a una computadora o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
• Módulo IIS: Un módulo IIS es un complemento para el servidor web IIS de Microsoft que gestiona solicitudes web; los módulos maliciosos pueden secuestrar el tráfico o robar datos.
• Fraude SEO: El fraude SEO implica el uso de técnicas engañosas para manipular los resultados de los motores de búsqueda y mejorar artificialmente el posicionamiento de un sitio web, violando las directrices de los motores de búsqueda.
• Inyección SQL: La inyección SQL es una técnica de hackeo donde los atacantes insertan código malicioso en entradas de usuario para engañar a la base de datos y ejecutar comandos dañinos.
• Escalada de privilegios: La escalada de privilegios ocurre cuando un atacante obtiene acceso de nivel superior, pasando de una cuenta de usuario normal a privilegios de administrador en un sistema o red.