China-gelieerde GhostRedirector infiltreert Windows-servers wereldwijd

ESET-onderzoekers hebben een nieuwe cyberdreigingsactor ontdekt genaamd GhostRedirector, die zich richt op Windows-servers in meerdere landen. De aanvallen, die plaatsvonden tussen december 2024 en april 2025, hebben minimaal 65 servers gecompromitteerd, met name in Brazilië en andere opkomende markten.

Geavanceerde aanvalstechnieken

De actor, die vermoedelijk banden heeft met Chinese staatshackers, maakt gebruik van twee nieuw ontdekte tools: de Rungan backdoor en de Gamshen IIS-module. Deze tools worden ingezet voor SEO-fraude en het manipuleren van Google-zoekresultaten.

Impact en doelwitten

De aanvallen zijn geografisch verspreid maar concentreren zich voornamelijk in Zuidoost-Azië en Latijns-Amerika. In Nederland is één server getroffen, die eigendom was van een buitenlands retailbedrijf. Sectoren variëren van onderwijs tot gezondheidszorg en technologie.

Technische kenmerken

GhostRedirector verwerft initiële toegang via SQL-injectie en gebruikt vervolgens diverse tools voor privilege-escalatie. De geavanceerde technische infrastructuur stelt de aanvallers in staat om langdurige toegang tot gecompromitteerde systemen te behouden.

Beveiligingsaanbevelingen

ESET heeft alle geïdentificeerde slachtoffers geïnformeerd en biedt mitigatiestrategieën in een uitgebreid whitepaper. Organisaties worden geadviseerd hun Windows-servers extra te beveiligen en verdachte activiteiten te monitoren.

"Deelname aan een SEO-fraudeschema kan de reputatie van de gecompromitteerde website ernstig schaden," waarschuwt ESET-onderzoeker Fernando Tavella.