Investigadores da ESET descobriram um novo grupo de cibercriminosos, batizado de GhostRedirector, que tem comprometido servidores Windows em várias partes do globo. Acredita-se que o grupo tenha ligações à China e, até junho, já tinha atacado pelo menos 65 servidores, com especial incidência em países como Brasil, Tailândia, Vietname e Estados Unidos.
As vítimas pertencem a setores variados, desde a educação e saúde até aos transportes, tecnologia e retalho, indicando que os atacantes não têm um alvo específico, mas sim um interesse geográfico na América Latina e no Sudeste Asiático.
Ferramentas personalizadas para o ataque
O que distingue o GhostRedirector é o uso de duas ferramentas personalizadas até agora desconhecidas. A primeira é um backdoor passivo desenvolvido em C++, chamado Rungan, que permite aos atacantes executar comandos nos servidores infetados.
A segunda ferramenta é um módulo malicioso para os Serviços de Informação da Internet (IIS) da Microsoft, denominado Gamshen. Este módulo é utilizado para manipular os resultados do motor de busca da Google, uma técnica conhecida como "SEO fraudulento", com o objetivo de melhorar a classificação de websites de jogos de azar.
Como funciona a operação
Segundo os dados recolhidos pela ESET, o acesso inicial aos servidores é obtido através da exploração de uma vulnerabilidade, muito provavelmente uma injeção de SQL. Uma vez dentro do sistema, os atacantes descarregam e executam as suas ferramentas maliciosas.
Para além do Rungan e do Gamshen, o grupo utiliza outros exploits conhecidos, como o EfsPotato e o BadPotato. Estas ferramentas servem, por exemplo, para criar um utilizador com privilégios elevados no servidor, permitindo descarregar e executar outros componentes maliciosos.
Persistência para manter o controlo
Uma das características do GhostRedirector é a sua resiliência. O grupo implementa várias ferramentas de acesso remoto e cria contas de utilizador fraudulentas para garantir que mantém o controlo da infraestrutura comprometida a longo prazo.
Fernando Tavella, o investigador da ESET que liderou a descoberta, salienta que o grupo "demonstra persistência e resiliência operacional" ao usar múltiplas táticas para não perder o acesso aos servidores.
Os primeiros ataques detetados ocorreram entre dezembro de 2024 e abril de 2025. No entanto, uma análise mais aprofundada em junho revelou um número maior de vítimas, que já foram todas notificadas pela empresa de cibersegurança.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
