Nel vasto e mutevole panorama del crimine informatico, l’emergere di un nuovo attore-minaccia non è raro, ma il gruppo battezzato GhostRedirector si distingue per la sua sofisticazione e il suo peculiare modello di business illecito.

La ricerca dell’azienda slovacca di sicurezza informatica ESET ha svelato un’operazione su larga scala che, a partire dall’agosto 2024, ha compromesso almeno 65 server Windows in tutto il mondo.

Ecco perché la frode SEO cinese è insidiosa.

GhostRedirector e la frode SEO

La portata di questa operazione, documentata in una scansione dei ricercatori di sicurezza informatica a giugno 2025, ha rivelato un’infiltrazione che si estende a diverse industrie cruciali, dimostrando l’approccio indiscriminato del gruppo.

Il modus operandi di GhostRedirector non mira al furto massiccio di dati personali o a estorsioni dirette, ma a un’insidiosa frode SEO, utilizzando le risorse delle vittime per promuovere servizi di gioco d’azzardo online.

L’analisi forense condotta da ESET ha fornito solide prove che collegano questo cluster di attacchi a un gruppo allineato con la Cina.

Le prove raccolte per sostenere l’attribuzione a un attore di minacce allineato alla Cina sono numerose e convincenti. Esse includono l’analisi di stringhe cinesi codificate nel codice sorgente del malware, un certificato di firma del codice rilasciato a una società cinese, Shenzhen Diyuan Technology, e l’uso di una password comune (“huang”) per gli utenti creati sui server compromessi.

La geografia degli attacchi

Gli attacchi si concentrano principalmente in Brasile, Tailandia e Vietnam, ma hanno toccato anche altre nazioni come Perù, Usa, Canada, Finlandia, India, Paesi Bassi, Filippine e Singapore.

Il gruppo mostra una notevole indifferenza verso il settore di appartenenza delle vittime, colpendo indiscriminatamente entità nel mondo dell’istruzione, della sanità, delle assicurazioni, dei trasporti, della tecnologia e della vendita al dettaglio.

L’arsenale

Al centro dell’arsenale di GhostRedirector ci sono due strumenti inediti: la backdoor passiva Rungan e il modulo IIS Gamshen, oltre a exploit noti che garantiscono persistenza e resilienza operativa.

L’intero schema rappresenta un chiaro esempio di frode SEO-as-a-service, dove l’abuso della reputazione e dell’infrastruttura delle vittime avviene per favorire i clienti del cybercrime.

La catena d’attacco: dalla vulnerabilità all’infiltrazione

Il successo di GhostRedirector risiede in una catena d’attacco metodica e ben orchestrata, che sfrutta vulnerabilità note per stabilire una testa di ponte sicura all’interno delle reti delle vittime.

Si ottiene l’accesso iniziale alle reti target con un alto grado di probabilità sfruttando un difetto di iniezione SQL.

Questa congettura è supportata dalla scoperta di ESET che la maggior parte delle esecuzioni non autorizzate di PowerShell provengono direttamente dal file binario sqlserver.exe, che ospita una stored procedure chiamata xp_cmdshell.

La vulnerabilità, infatti, permette agli attaccanti di eseguire comandi del sistema operativo con i privilegi dell’account del servizio SQL Server, bypassando efficacemente molte delle tradizionali difese di rete.

L’utilizzo di xp_cmdshell dimostra una conoscenza approfondita degli ambienti di  database e delle loro insidie, agendo come una backdoor che permette di evadere i controlli di sicurezza a livello di applicazione.

L’uso di PowerShell

Una volta ottenuto il controllo, gli attaccanti utilizzano PowerShell per scaricare strumenti aggiuntivi da un server di staging, identificato dall’azienda di sicurezza informatica nel dominio 868id[.]com.

Questo passaggio è cruciale per l’escalation dei privilegi e per il successivo dispiegamento dell’arsenale completo del gruppo.

Per consolidare la loro posizione e assicurarsi i permessi di amministratore, GhostRedirector ricorre a exploit pubblicamente noti come EfsPotato e BadPotato.

Questi strumenti consentono di creare un utente privilegiato sul server, una sorta di “account di emergenza” che può essere utilizzato per scaricare ed eseguire ulteriori componenti malevoli o per riprendere il controllo nel caso in cui il backdoor principale venisse rimosso.

L’approccio a più livelli dimostra una profonda comprensione delle tattiche di persistenza e resilienza.

La doppia minaccia di Rungan e Gamshen

Il cuore dell’operazione di GhostRedirector è un duo di malware personalizzati, Rungan e Gamshen, che lavorano in tandem per raggiungere gli obiettivi del gruppo.

Rungan, la backdoor silenziosa

Rungan è una backdoor passiva scritta in C++, progettata per rimanere inattiva fino a quando non riceve una richiesta da un URL che corrisponde a un pattern predefinito, come ad esempio https://+:80/v1.0/8888/sys.html.

Questo approccio “on-demand” rende Rungan difficile da individuare con i metodi di scansione tradizionali e le soluzioni di sicurezza che monitorano il traffico in uscita.

Una volta attivato, il backdoor è in grado di analizzare ed eseguire comandi incorporati nella richiesta. Le sue funzionalità sono state mappate da ESET e includono quattro comandi distinti:

• mkuser, per creare un nuovo utente sul server con nome utente e password forniti dall’attaccante.
• listfolder, un comando per raccogliere informazioni da un percorso specificato, sebbene i ricercatori abbiano notato che non è completamente implementato.
• addurl, per registrare nuovi URL su cui la backdoor può rimanere in ascolto, espandendo i punti di accesso.
• cmd, per eseguire comandi arbitrari sul server, utilizzando le pipe e l’API CreateProcessA di Windows.

Gamshen: il modulo per la frode SEO

Gamshen, scritto anch’esso in C/C++, è un modulo nativo per Internet Information Services (IIS). IIS, il server web di Microsoft per sistemi Windows, ha un’architettura modulare che permette l’integrazione di estensioni sia native (DLL C++) che gestite (.NET).

Gamshen si inserisce in questo framework come un trojan che agisce sia come backdoor che, più significativamente, come strumento per la frode SEO.

ESET lo ha classificato all’interno di una famiglia di malware IIS nota come “Gruppo 13”, e ha notato la sua somiglianza con IISerpent, un altro malware IIS precedentemente documentato.

Lo scopo principale di Gamshen è quello di “fornire frodi SEO come servizio, ovvero manipolare i risultati dei motori di ricerca, aumentando il posizionamento delle pagine di un sito web di destinazione configurato”.

Il suo funzionamento è ingegnosamente subdolo: rileva se la richiesta proviene da Googlebot, il crawler di Google. Se è così, modifica il contenuto della risposta per includere parole chiave e link che promuovono siti di gioco d’azzardo online, probabilmente appartenenti a un cliente pagante di GhostRedirector.

Se la richiesta proviene da un utente umano, il contenuto rimane inalterato. Come ha sottolineato il ricercatore ESET Fernando Tavella, “sebbene Gamshen modifichi la risposta solo quando la richiesta proviene da Googlebot, la partecipazione al sistema di frode SEO può danneggiare la reputazione del sito web host compromesso, associandolo a tecniche SEO losche e ai siti web promossi.”

Un modello di business del cyber crime: il danno silenzioso

Gli attacchi di GhostRedirector evidenziano un modello di business in evoluzione nel mondo del cyber crime, dove le risorse compromesse vengono affittate o vendute per scopi specifici.

In questo caso, i server delle vittime diventano parte di una vasta rete per la manipolazione del ranking di ricerca di Google.

Per l’azienda o l’organizzazione che subisce l’attacco, il danno non è immediato e tangibile come un’estorsione o il furto di dati sensibili, ma è ugualmente grave.

Oltre a compromettere la sicurezza della rete, l’operazione di frode SEO può portare a una penalizzazione del sito web da parte dei motori di ricerca, con conseguente perdita di visibilità e, in ultima analisi, di traffico e clienti.

L’associazione con attività illecite danneggia gravemente l’immagine del brand e la credibilità, con ripercussioni a lungo termine che possono superare di gran lunga i costi di un attacco ransomware.

La persistenza e la resilienza operativa dimostrate da GhostRedirector, che implementa molteplici strumenti di accesso remoto e crea account utente non autorizzati, sottolineano la necessità per le aziende di adottare un approccio di sicurezza proattivo e a più livelli.

La difesa non deve più limitarsi a bloccare l’accesso iniziale, ma deve concentrarsi sul rilevamento e sulla neutralizzazione di un’ampia gamma di strumenti, dalla backdoor passiva al malware che agisce nel silenzio del server web.

Questa minaccia ci ricorda che il cybercrime non si limita ai titoloni dei giornali, ma prospera anche nelle operazioni silenziose e insidiose che sfruttano la fiducia digitale per scopi monetari.