Un’ampia indagine condotta da ESET ha rivelato una nuova campagna di attacchi informatici denominata GhostRedirector, mirata principalmente a server Windows. I sistemi compromessi sono stati individuati soprattutto in Brasile, Thailandia, Vietnam e Stati Uniti, con altri casi isolati in Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore. La concentrazione in America Latina e nel Sud-est asiatico suggerisce un focus geografico preciso da parte degli attaccanti.
Strumenti personalizzati e tecniche di intrusione
La particolarità di GhostRedirector è l’uso di due strumenti inediti: Rungan, una backdoor in C++ che consente di eseguire comandi da remoto e manipolare il sistema operativo, e Gamshen, un modulo IIS malevolo che altera le risposte ai crawler di Google per frode SEO. Quest’ultimo non modifica la navigazione degli utenti reali, ma compromette la reputazione dei siti infetti, associandoli a portali di scommesse online.
Il gruppo sfrutta inoltre exploit noti come EfsPotato e BadPotato per creare account amministrativi nascosti, mantenendo l’accesso anche se le backdoor vengono rimosse. Secondo ESET, l’accesso iniziale avviene probabilmente tramite vulnerabilità SQL Injection, seguita dall’installazione di tool per l’escalation dei privilegi, webshell e backdoor in grado di eseguire comandi, manipolare servizi e controllare le comunicazioni di rete.
Persistenza e risposta alla minaccia
Fernando Tavella, ricercatore ESET, ha spiegato che GhostRedirector mira a una presenza di lungo termine all’interno delle infrastrutture compromesse, distribuendo più strumenti di accesso remoto e creando account utente falsi per aumentare la resilienza operativa.
Le attività riconducibili al gruppo sono state osservate tra dicembre 2024 e aprile 2025, con nuove infezioni identificate a giugno 2025. Le organizzazioni coinvolte sono state informate e ESET ha pubblicato un white paper con raccomandazioni di sicurezza per mitigare i rischi. Purtroppo se ne sentono di tutti i colori ormai ogni giorno con le varie truffe che arrivano dal web, molte di queste pericolose esattamente come quella appena illustrata. Fate quindi attenzione in ogni momento.
