W czerwcu 2025 roku badacze z ESET odkryli nową grupę cyberzagrożeniową — nazwaną GhostRedirector — która przeprowadziła ataki na co najmniej 65 serwerów z systemem Windows. Cel? Poprawa pozycji wybranych stron w wyszukiwarce Google poprzez manipulację wynikami — mechanizm zwany SEO-fraudem.

Tarcza narzędziowa GhostRedirector

GhostRedirector wykorzystuje dwie niestandardowe, wcześniej nieudokumentowane bronie cyfrowe:

• Rungan – pasywny backdoor napisany w C++, który umożliwia zdalne wykonywanie komend, kontrolę plików, usług i rejestru systemu.

• Gamshen – moduł natywny do Microsoft IIS (Internet Information Services), przeprowadzający SEO-fraud: modyfikuje odpowiedzi HTTP tylko dla bota Google (Googlebot), by sztucznie podnosić ranking konkretnej strony w wynikach wyszukiwania.

Atakowane hosty nie były narażone na bezpośrednie szkody dla odwiedzających — manipulacje były widoczne tylko dla wyszukiwarki, co czyniło działania wyjątkowo trudnymi do wykrycia.

Pozostałe narzędzia i techniki utrzymania dostępu

Grupa używała również:

• Publicznie dostępnych exploitów EfsPotato i BadPotato, służących eskalacji uprawnień i tworzeniu kont z uprawnieniami administratora.

• Dodatkowych wsparć, jak webshells, narzędzia do zbierania danych (np. Zunput), czy oprogramowanie do zdalnego dostępu jak GoToHTTP.

Dzięki temu GhostRedirector wykazywał wysoki poziom trwałości — w razie usunięcia kluczowych komponentów, grupa mogła odzyskać dostęp.

Geografia i branże ofiar

Docelowe serwery znajdowały się głównie w: Brazylia, Tajlandia, Wietnam, Stany Zjednoczone, a także w mniejszych liczbach – w Kanadzie, Finlandii, Indiach, Holandii, Filipinach i Singapurze.

Nie było rozróżnienia według branż – ofiarami padły m.in. sektor edukacji, opieka zdrowotna, ubezpieczenia, transport, technologia i handel detaliczny.

Atrybucja i czas działań

ESET ocenia, iż GhostRedirector jest przynajmniej pośrednio związany z Chinami, co podkreślają m.in. twardo zakodowane chińskie ciągi w kodzie, certyfikat podpisujący wydany chińskiej firmie oraz użycie słowa „huang” (chińskie: żółty) jako części hasła na stworzone konta.

Działania grupy były prowadzone co najmniej od sierpnia 2024 r., a potwierdzone incydenty wykryto między grudniem 2024 a kwietniem 2025 r., wraz z dodatkowymi serwerami zidentyfikowanymi w czerwcu 2025 r. poprzez szeroki skan internetowy.

Cyberbezpieczeństwo i wnioski

Trakcja GhostRedirector smutnie przypomina nową formę ataku: zamiast bezpośrednich wymuszeń, cyberprzestępcy używają SEO-fraudu jako usługi, manipulując wynikami wyszukiwania. Taka taktyka pozwala ominąć wykrywanie przez normalnych użytkowników oraz ukrywać ślady ataku.

Źródło: eset.com

Wyszukując oferty, stawiam na te najbardziej opłacalne. Wybierając poniższe usługi, wspierasz blog.

Wirtualne numery SIM – z tym numerem założysz konto i zdobędziesz zniżki za pierwsze zamówienie na UberEats czy pyszne.[l