GhostRedirector : Les manœuvres SEO occultes qui hantent les serveurs Windows

En Bref

• Au moins 65 serveurs Windows compromis, principalement au Brésil, en Thaïlande et au Vietnam (ESET).
• Les attaquants ont utilisé une porte dérobée en C++ (Rungan) et un module IIS (Gamshen) pour contrôler et manipuler les serveurs.
• Objectif principal : améliorer le classement Google de sites de jeux d’argent douteux via des tactiques SEO frauduleuses.
• L’intrusion initiale s’est probablement faite par injection SQL ; les attaquants ont utilisé PowerShell pour un accès plus profond.
• Les indices pointent vers un groupe menaçant aligné sur la Chine, actif depuis au moins août 2024.

Une nouvelle ère de cybercriminalité : le hacking au service de la fraude SEO

Imaginez vous réveiller pour découvrir que votre site web, autrefois vitrine numérique de confiance, sert désormais en secret les intérêts de magnats du jeu en ligne à l’autre bout du monde. C’est la réalité pour des dizaines d’organisations frappées par GhostRedirector, un groupe de hackers récemment dévoilé par ESET à la mi-2024. Leur campagne, un casse numérique mêlé de prestidigitation, a discrètement détourné au moins 65 serveurs Windows à travers le monde, les transformant en complices involontaires d’une vaste escroquerie au référencement.

L’opération repose sur deux outils principaux : Rungan, une porte dérobée furtive, et Gamshen, un module sur mesure pour les serveurs web Microsoft Internet Information Services (IIS). Rungan se tapit en arrière-plan, attendant des signaux secrets pour exécuter des commandes ou créer de nouveaux comptes utilisateurs. Gamshen, quant à lui, opère plus subtilement : il réécrit les réponses web uniquement lors du passage du robot d’indexation de Google, fabriquant de faux liens pour booster le classement du site ciblé. Résultat : les serveurs compromis transfèrent silencieusement la confiance et la puissance de classement de Google vers des sites de jeux douteux, tandis que les visiteurs ordinaires n’y voient que du feu.

Le théâtre technique : comment GhostRedirector tire les ficelles

Selon le rapport détaillé d’ESET (partagé avec The Hacker News), les intrusions de GhostRedirector ont débuté par une probable injection SQL - une technique classique où les attaquants trompent une base de données pour exécuter des commandes malveillantes. Une fois à l’intérieur, ils ont utilisé PowerShell (un puissant outil de script Windows) pour récupérer d’autres charges utiles depuis un serveur de préparation, puis ont déployé leur arsenal : Rungan, Gamshen, et une suite d’utilitaires comme GoToHTTP (pour le contrôle à distance) et Zunput (pour collecter des informations et installer des web shells).

Rungan, écrit en C++, agit comme un passe-partout numérique, capable de créer de nouveaux utilisateurs, lister des fichiers, enregistrer de nouveaux points d’accès et exécuter des commandes arbitraires. Gamshen, conçu comme un module IIS natif, appartient à la famille de malwares dite “Group 13” - similaire au IISerpent déjà signalé. Ces modules sont particulièrement insidieux : ils se nichent parmi le code légitime du serveur, interceptent le trafic web et ne révèlent leur vraie nature qu’aux moteurs de recherche. Comme l’a averti Microsoft en 2022, de telles extensions sont notoirement difficiles à détecter et à supprimer.

Les indices laissés par les attaquants pointent vers l’Est. ESET a trouvé des traces en chinois dans le code, un certificat d’une entreprise technologique basée à Shenzhen, et un mot de passe de compte utilisateur (“huang”) en mandarin. Cela rapproche GhostRedirector d’une tendance plus large : des groupes de menaces sinophones comme DragonRank ont de plus en plus recours à des modules IIS malveillants pour la fraude SEO, une tactique documentée par Cisco Talos et Trend Micro ces dernières années.

Pourquoi c’est important : réputation, revenus et résilience

Pour les victimes, les conséquences sont doubles : leurs sites risquent d’être blacklistés ou rétrogradés par Google pour hébergement de pratiques SEO “louches”, et leurs systèmes restent exposés à des compromissions plus profondes. L’attaque est largement indiscriminée, touchant des secteurs allant de la santé au commerce de détail et couvrant plusieurs continents. Les méthodes des criminels - portes dérobées en cascade, outils d’élévation de privilèges et comptes frauduleux persistants - témoignent d’un nouveau niveau de résilience opérationnelle et de professionnalisme.

À mesure que la cybercriminalité et la pègre numérique évoluent, la campagne GhostRedirector rappelle crûment que la bataille pour la réputation et la confiance en ligne ne se joue pas seulement entre marketeurs et webmasters, mais aussi entre défenseurs en première ligne de la cybersécurité.

WIKICROOK

• Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
• Module IIS : Un module IIS est une extension pour le serveur web IIS de Microsoft qui gère les requêtes web ; des modules malveillants peuvent détourner le trafic ou voler des données.
• Fraude SEO : La fraude SEO consiste à utiliser des techniques trompeuses pour manipuler les résultats des moteurs de recherche et améliorer artificiellement le classement d’un site, en violation des règles des moteurs de recherche.
• Injection SQL : L’injection SQL est une technique de piratage où les attaquants insèrent du code malveillant dans des champs de saisie pour tromper une base de données et exécuter des commandes nuisibles.
• Élévation de privilèges : L’élévation de privilèges se produit lorsqu’un attaquant obtient des droits d’accès supérieurs, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.