Servidores de Windows secuestrados para mejorar posiciones de sitios de apuestas ilegales en Google.
Hackers chinos han sido identificados utilizando un nuevo tipo de malware con un objetivo inusual.
Un grupo de hackers originario de China ha logrado secuestrar al menos 65 servidores de Windows con el objetivo de mejorar el posicionamiento en Google de sitios de apuestas fraudulentos. Este ataque, denominado GhostRedirector, fue iniciado en diciembre de 2024 y se ha registrado principalmente en servidores ubicados en América Latina y el sur de Asia.
Los investigadores de seguridad han identificado que tras infiltrarse en un servidor, los cibercriminales implementan varias herramientas, incluyendo dos nuevos tipos de malware denominados Rungan y Gamshen. Rungan actúa como un backdoor clásico, mientras que Gamshen es responsable de mejorar las posiciones en los motores de búsqueda. Este último es descrito como un troyano malicioso inherente a Internet Information Services (IIS), que modifica selectivamente las respuestas HTTP específicamente para el rastreador web de Google, Googlebot.
El objetivo de estas intrusiones es inyectar enlaces de retroceso o contenido SEO diseñado para aumentar artificialmente la visibilidad de los sitios de juegos de azar en las búsquedas de Google. Un rasgo distintivo de este troyano es su sigilo, dado que los visitantes normales no se ven afectados y los propietarios de los sitios comprometidos suelen notar la intrusión solo cuando sus posiciones en los motores de búsqueda caen o Google señala el sitio por comportamientos sospechosos.
La mayoría de los servidores comprometidos se han localizado en Brasil, Perú, Tailandia y Vietnam, aunque también se han encontrado servidores afectados en Estados Unidos. Sin embargo, los expertos creen que los atacantes se centraron principalmente en el sur de América y Asia. Además, los ataques no parecen estar dirigidos a un sector específico, ya que se han detectado en industrias como educación, salud, seguros, transporte, tecnología y comercio minorista.
El acceso inicial a los servidores probablemente se consiguió mediante la explotación de una vulnerabilidad de inyección SQL. Una vez dentro, los hackers utilizaron PowerShell para descargar herramientas de escalamiento de privilegios y cargadores. A partir de ahí, se implementaron Rungan y Gamshen para culminar el ataque.
