GhostRedirector, la minaccia globale cinese che unisce hacking e SEO fraudolenta

I ricercatori di ESET hanno scoperto un nuovo gruppo di cybercriminali legato alla Cina, denominato GhostRedirector, che nel giugno 2025 ha compromesso oltre 65 server Windows distribuiti in diversi Paesi. Le vittime appartengono a settori strategici come assicurazioni, sanità, retail, trasporti, tecnologia ed education, con impatti significativi sulla sicurezza delle infrastrutture digitali.

Tecniche e strumenti utilizzati da GhostRedirector

Il gruppo ha adottato strumenti personalizzati e inediti:

• Rungan, una backdoor passiva in C++ che consente l’esecuzione di comandi sui server infetti;
• Gamshen, un modulo IIS malevolo progettato per realizzare frodi SEO as-a-service, manipolando i risultati di ricerca di Google e favorendo artificialmente siti di scommesse online.

A questi si affiancano exploit noti come EfsPotato e BadPotato, utilizzati per ottenere privilegi amministrativi e creare account fasulli in grado di mantenere l’accesso ai sistemi anche in caso di rimozione dei malware principali.

Frodi SEO e danni alla reputazione

Secondo gli esperti di ESET, Gamshen non influisce direttamente sull’esperienza di navigazione degli utenti, poiché modifica la risposta solo quando la richiesta proviene da Googlebot. Tuttavia, il rischio per le aziende compromesse è elevato: i loro domini possono essere associati a pratiche SEO scorrette e a siti di betting online, con conseguenze sulla reputazione e credibilità digitale.

Geografia e obiettivi degli attacchi

La maggior parte dei server compromessi si trova in Stati Uniti, Brasile, Thailandia e Vietnam, ma sono state colpite anche organizzazioni in Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore. Gli analisti ritengono che il focus principale di GhostRedirector sia rivolto ad America Latina e Sud-est asiatico, senza prediligere un settore verticale specifico.

Modalità di compromissione e persistenza

Gli attacchi ottengono accesso iniziale tramite probabili vulnerabilità di tipo SQL Injection, per poi installare strumenti in grado di:

• scalare i privilegi
• installare webshell
• creare backdoor e trojan su IIS

La resilienza del gruppo è evidente: più livelli di accesso remoto e utenti falsi garantiscono persistenza a lungo termine sui sistemi violati.

Implicazioni e raccomandazioni

Gli attacchi di GhostRedirector rappresentano una nuova evoluzione nelle minacce ibride, in cui malware tradizionali vengono affiancati a tecniche di manipolazione SEO. ESET ha notificato tutte le vittime individuate e pubblicato un white paper con misure di mitigazione, ribadendo l’importanza di aggiornare regolarmente i sistemi, monitorare anomalie nei log e adottare soluzioni avanzate di cybersecurity.

Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook