ESET onderzoek: GhostRedirector richt zich op Windows servers

vrijdag, 5 september 2025 (15:56) - Dutch IT Channel

In dit artikel:

ESET-onderzoekers hebben een nieuwe dreigingsactor gedetecteerd die zij GhostRedirector noemen. In juni 2025 bleek deze actor minstens 65 Windows-servers te hebben gekraakt, met de meeste slachtoffers in Brazilië, Thailand, Vietnam en de Verenigde Staten; ook werden getroffen systemen gevonden in Canada, Finland, India, Nederland (een gehuurde server voor een buitenlandse retailer), de Filipijnen en Singapore. De aanvallen waren waarneembaar tussen december 2024 en april 2025; een wereldwijde scan in juni 2025 bracht extra slachtoffers aan het licht, die ESET heeft gewaarschuwd.

GhostRedirector maakt gebruik van op maat gemaakte tools: een passieve C++-backdoor die ESET Rungan noemt en een kwaadaardige IIS-module met de naam Gamshen. Rungan geeft aanvallers commando- en bestandsuitvoeringsmogelijkheden plus netwerkcommunicatie en manipulatie van services en register. Gamshen is bedoeld om SEO-fraude als dienst te leveren: het manipuleert zoekresultaten van Google door Googlebot andere responsen te serveren, waardoor doelwebsites—voornamelijk goksites—kunstmatig hoger komen in zoekresultaten. ESET waarschuwt dat dit de reputatie van de gecompromitteerde sites schaadt, ook al worden reguliere bezoekers niet direct met schadelijke inhoud geconfronteerd.

Voor toegang gebruikt de groep vermoedelijk kwetsbaarheden zoals SQL-injectie; daarna installeren de aanvallers privilege-escalatie-tools (waaronder publieke exploits als EfsPotato en BadPotato), meerdere webshells, de backdoor en de IIS-Trojan. Ze creëren bovendien valse gebruikersaccounts en meerdere toegangsmechanismen om langdurige aanwezigheid en veerkracht te waarborgen. Getroffen sectoren zijn divers: onderwijs, zorg, verzekeringen, transport, technologie en retail, met een focus op Latijns-Amerika en Zuidoost-Azië.

ESET publiceerde een uitgebreid rapport en een technische blogpost op WeLiveSecurity met detectie-indicatoren en mitigatieadvies; aanbevolen maatregelen omvatten patching, zoeken naar webshells en verdachte IIS-modules, accountcontrole en netwerkmonitoring om verdere compromittering te voorkomen.