Redazione RHC : 5 septiembre 2025 12:51
Un grupo cibercriminal, denominado GhostRedirector por los investigadores de ESET y vinculado al ecosistema chino, ha desplegado silenciosamente un esquema global de manipulación de motores de búsqueda basado en hosts de Windows pirateados.Según datos de telemetría y análisis de internet de junio, al menos 65 servidores en varios países han sido comprometidos. Las primeras infecciones confirmadas se registraron en diciembre, pero una serie de muestras relacionadas indica actividad desde al menos agosto de 2024, por lo que no se trata de una epidemia, sino de una campaña a largo plazo con roles e infraestructura establecidos.
Su núcleo se compone de dos componentes diseñados específicamente para ello. Rungan es una puerta trasera pasiva escrita en C++ que, una vez activada, acepta comandos en una máquina comprometida y actúa como un mecanismo de administración remota silenciosa. Gamshen es un troyano de los Servicios de Información de Internet (ISRS) que modifica las respuestas del servidor web para que el robot de Google no vea las páginas originales, sino versiones modificadas útiles para dominios de juegos de azar de terceros.
A nivel de motor de búsqueda, parece que los sitios legítimos enlazan con frecuencia a recursos promocionados, y los algoritmos de clasificación interpretan estos enlaces artificiales como recomendaciones. Como resultado, el posicionamiento de los sitios de apuestas mejora, y los propietarios de los servidores pirateados ni siquiera sospechan que sus sitios están impulsando el plan SEO de terceros.
La geografía del ataque muestra una clara prevalencia en países de Sudamérica y el sur de Asia. El mayor número de ordenadores infectados se detectó en Brasil, Perú, Tailandia, Vietnam y Estados Unidos, y los atacantes no se limitaron a un solo sector. Se dirigieron a instituciones educativas, organizaciones médicas, compañías de seguros, empresas de transporte, empresas tecnológicas y comercios minoristas. Esta distribución sugiere que la selección de las víctimas no estuvo determinada por el perfil de la empresa, sino por las señales técnicas de vulnerabilidad y la facilidad de operación posterior.
Según los analistas, el punto de entrada inicial está asociado con vulnerabilidades específicas de inyección SQL. Tras comprometer la aplicación web, los atacantes procedieron a la fase de expansión de acceso e implementaron una cadena de cargadores y herramientas en el servidor. Los scripts de control de PowerShell extrajeron todos los componentes necesarios del mismo nodo 868id[.]com, simplificando la logística del ataque y permitiendo un rápido intercambio de versiones de la carga útil.
Para escapar del contexto del proceso web y alcanzar el nivel de administrador, se utilizaron utilidades basadas en exploits públicos de la familia Potato, específicamente los conceptos EfsPotato y BadPotato, ampliamente utilizados en el sector delictivo de habla china. Algunas de las muestras estaban correctamente firmadas digitalmente: el certificado fue emitido por el centro TrustAsia RSA Code Signing CA G3 a Shenzhen Diyuan Technology. Una firma válida aumenta la fiabilidad de los mecanismos de protección en los archivos ejecutables y facilita su ejecución. Tras escalar con éxito los privilegios, el trabajo se completó creando o modificando una cuenta local con inclusión en el grupo de administradores, lo que garantizó un control estable y la capacidad de realizar operaciones sensibles sin ciberataques repetidos.
Además de las puertas traseras finales, los investigadores describen dos módulos auxiliares que proporcionan reconocimiento y control. La biblioteca Comdai realiza diversas funciones de puerta trasera: establece interacción de red con la parte controladora, crea cuentas con derechos administrativos, ejecuta archivos, obtiene listados de directorios, interfiere con el funcionamiento de los servicios y modifica las claves del Registro de Windows. Un componente independiente, Zunput, se encarga de inventariar los sitios web capaces de ejecutar contenido dinámico. Supervisa la actividad de la colección de sitios, recopila parámetros (la ruta física a la raíz web, el nombre del sitio, la dirección IP, el nombre de host) y, a continuación, deja un shell web en el servidor para futuras operaciones.
El último paso de la cadena es la implementación de un par de Rungan y Gamshen. El primero ejecuta una serie de comandos en un nodo pirateado y admite la actividad operativa remota sin interferencias en los registros, mientras que el segundo transforma un recurso legítimo en un sello invisible para la manipulación de búsquedas. El truco clave de Gamshen es la sustitución selectiva de respuestas solo para Googlebot, y las inserciones se generan dinámicamente a partir de los datos del servidor de control C2. Esto crea backlinks artificiales desde dominios de confianza a las páginas deseadas, que las colocan al principio de las consultas objetivo. A juzgar por la descripción de la mecánica, un proyecto de terceros se está aprovechando de esto, probablemente pagando por el servicio de fraude, y GhostRedirector actúa como un contratista técnico con su propio arsenal y controles de acceso.
El panorama resultante de esta operación muestra la estrecha relación que existe hoy en día entre las prácticas delictivas de SEO y el hackeo tradicional de servidores. Por un lado, la explotación selectiva de vulnerabilidades, la escalada de privilegios, el atrincheramiento y los módulos de control; por otro, un análisis minucioso del contenido y el tráfico, basado en las señales de comportamiento de los motores de búsqueda. En resumen, esto permite la creación de una red de enlaces de soporte desde recursos de terceros en poco tiempo y aumenta la visibilidad de los sitios promocionados, sin dejar prácticamente ningún rastro visible para los propietarios de los sitios comprometidos.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
