ESET GhostRedirector richt zich op Windows servers

GhostRedirector is zeer waarschijnlijk een China-gelieerde dreigingsactor. Waar Rungan in staat is om opdrachten uit te voeren op een gecompromitteerde server, is het doel van Gamshen om SEO-fraude te leveren als dienst, gericht op het manipuleren van zoekresultaten van Google. Hiermee worden doelwebsites kunstmatig hoger in de zoekresultaten geplaatst, met name gokwebsites.

“Hoewel Gamshen alleen de respons wijzigt wanneer het verzoek afkomstig is van Googlebot, en dus geen schadelijke inhoud levert aan gewone bezoekers, kan deelname aan een SEO-fraudeschema de reputatie van de gecompromitteerde website schaden. Deze wordt dan immers geassocieerd met dubieuze SEO-technieken en de gepromote websites,” aldus ESET-onderzoeker Fernando Tavella, die de dreiging heeft ontdekt.

Naast Rungan en Gamshen maakt GhostRedirector gebruik van een reeks andere op maat gemaakte tools, evenals van publiek bekende exploits zoals EfsPotato en BadPotato, om een bevoorrechte gebruiker op de server aan te maken. Deze gebruiker kan worden ingezet om andere kwaadaardige componenten met verhoogde rechten te downloaden en uit te voeren, of als terugvaloptie als de backdoor Rungan of andere tools worden verwijderd van de gecompromitteerde server.

Slachtoffers

Hoewel de slachtoffers geografisch verspreid zijn, blijken veel van de gecompromitteerde servers in de Verenigde Staten te zijn gehuurd door bedrijven in Brazilië, Thailand en Vietnam, dezelfde landen waar het grootste aantal directe slachtoffers is vastgesteld. ESET-onderzoekers concluderen hieruit dat GhostRedirector zich vooral richt op doelwitten in Latijns-Amerika en Zuidoost-Azië.

GhostRedirector heeft geen specifieke voorkeur voor één sector; ESET heeft slachtoffers geïdentificeerd in uiteenlopende sectoren zoals onderwijs, gezondheidszorg, verzekeringen, transport, technologie en retail.

Op basis van ESET-telemetrie krijgt GhostRedirector waarschijnlijk initiële toegang via het uitbuiten van een kwetsbaarheid, vermoedelijk een SQL-injectie. Na compromittering van een Windows-server downloaden de aanvallers verschillende kwaadaardige tools: een tool voor privilege-escalatie, malware die meerdere webshells plaatst, of de eerder genoemde backdoor en IIS-Trojan. De privilege-escalatie tools worden ook gebruikt als vangnet wanneer de groep de toegang tot de server dreigt te verliezen.

Internetscan

De functionaliteit van de backdoor omvat netwerkcommunicatie, het uitvoeren van bestanden, het opvragen van mappenlijsten en het manipuleren van zowel services als Windows-registersleutels.

“GhostRedirector toont ook aan vasthoudend en operationeel veerkrachtig te zijn door meerdere tools voor externe toegang te implementeren op de gecompromitteerde server, naast het aanmaken van nepgebruikersaccounts. Dit alles met het doel om langdurige toegang tot de infrastructuur te behouden,” aldus Tavella.

Aanvallen door GhostRedirector zijn waargenomen tussen december 2024 en april 2025. Een wereldwijde internetscan in juni 2025 bracht nog meer slachtoffers aan het licht. ESET heeft alle via deze scan geïdentificeerde slachtoffers op de hoogte gebracht van de compromittering. Aanbevelingen voor mitigatie zijn te vinden in het eerder gepubliceerde uitgebreide whitepaper van ESET.

Voor een diepgaandere analyse en technische details over GhostRedirector, lees de nieuwste blogpost van ESET Research: “GhostRedirector vergiftigt Windows-servers: Backdoors met een bijgerecht van Potatoes” op WeLiveSecurity.com.