El grupo de investigación ESET Research ha identificado un nuevo actor de amenazas avanzado, denominado GhostRedirector, que ha comprometido al menos 65 servidores Windows en junio de 2025.
Este grupo, alineado con China según los investigadores, combina técnicas de manipulación de resultados en Google con infecciones persistentes en infraestructuras críticas. La actividad maliciosa afecta principalmente a Brasil, Tailandia, Vietnam y Estados Unidos, aunque también se han registrado casos en Europa y otros países de Asia.
Herramientas inéditas: Rungan y Gamshen
GhostRedirector destaca por el uso de dos herramientas inéditas hasta la fecha. La primera, Rungan, es una puerta trasera pasiva escrita en C++ que permite ejecutar comandos en servidores comprometidos. La segunda, Gamshen, es un módulo malicioso para Internet Information Services (IIS) orientado a manipular resultados de búsqueda en Google, favoreciendo el posicionamiento fraudulento de páginas web, en particular de apuestas online.
Según ESET, Gamshen solo interviene cuando detecta peticiones del Googlebot, lo que significa que los usuarios habituales de las webs no perciben anomalías. Sin embargo, esta práctica puede dañar seriamente la reputación de los sitios afectados, al asociarlos con actividades ilícitas y páginas de escasa fiabilidad.
Fernando Tavella, investigador de ESET, advierte: “La participación en un esquema de fraude SEO puede tener un impacto negativo en la confianza hacia una organización, incluso si esta desconoce que su infraestructura ha sido comprometida”.
Técnicas de ataque y persistencia
El grupo no se limita a sus nuevas creaciones. GhostRedirector emplea también exploits conocidos, como EfsPotato y BadPotato, para crear usuarios privilegiados en los sistemas infectados. Estos accesos adicionales funcionan como vías de respaldo, asegurando la persistencia en caso de que las puertas traseras sean eliminadas.
Las víctimas se distribuyen en distintos sectores: seguros, sanidad, retail, transporte, tecnología y educación. La diversidad sugiere que los atacantes no buscan un sector vertical específico, sino maximizar el número de infraestructuras controladas.
ESET señala que el acceso inicial probablemente se obtiene mediante inyecciones SQL. Tras la intrusión, los atacantes descargan herramientas para escalar privilegios, instalan webshells y despliegan los módulos maliciosos. Rungan, en particular, permite comunicación remota, ejecución de archivos, manipulación del registro de Windows y control de servicios, lo que facilita un dominio total sobre el servidor.
Ámbito geográfico y foco estratégico
Aunque se detectaron casos en distintas regiones, la investigación apunta a un foco en América Latina y el Sudeste Asiático. Muchos de los servidores localizados en Estados Unidos estaban alquilados por compañías con sede en Brasil, Tailandia y Vietnam, lo que refuerza la hipótesis de que estos mercados son el objetivo prioritario del grupo.
En Europa se han identificado víctimas en países como Finlandia y Países Bajos, lo que alerta sobre la posible expansión del grupo hacia infraestructuras críticas en la UE. Para las empresas europeas, este patrón resulta especialmente relevante, ya que las tácticas utilizadas permiten a GhostRedirector mantener un acceso prolongado y difícil de erradicar.
Implicaciones para las empresas
El descubrimiento de GhostRedirector refleja una evolución en el uso de ciberamenazas híbridas, que combinan espionaje, control de sistemas y explotación económica mediante fraude SEO. Para las organizaciones, este caso evidencia tres riesgos principales:
- Reputación: la asociación de un dominio corporativo con actividades ilícitas puede erosionar la confianza de clientes y socios.
- Persistencia del atacante: la creación de múltiples puertas traseras y cuentas falsas complica la recuperación de la infraestructura.
- Ampliación del vector de ataque: la diversidad sectorial de las víctimas muestra que cualquier organización, independientemente de su tamaño o actividad, puede ser objetivo.
La telemetría de ESET confirma que los ataques se produjeron entre diciembre de 2024 y abril de 2025, con nuevas víctimas detectadas en junio mediante un escaneo global de internet. ESET ya ha notificado a las organizaciones afectadas y ha publicado un informe técnico con medidas de mitigación.
Un aviso para Europa y España
Aunque España no figura entre los países más afectados en esta fase, la estrategia global del grupo apunta a un riesgo creciente para infraestructuras locales. Sectores como el transporte, la sanidad y el comercio minorista, claves en la economía española, forman parte de las verticales ya comprometidas por GhostRedirector.
La investigación refuerza la necesidad de implementar estrategias de ciberseguridad proactivas, incluyendo monitorización de servidores expuestos, revisiones de seguridad en aplicaciones web y planes de respuesta frente a intrusiones persistentes. Para las empresas con operaciones internacionales, especialmente en América Latina o el Sudeste Asiático, el nivel de alerta debe ser aún mayor.
