Un nuevo grupo de amenanzas chino se encuentra dando que hablar en la red, que han bautizado como GhostRedirector y que afecta directamente al SEO. Durante el último tiempo, ha sido responsable de comprometer decenas de servidores Windows con el objetivo de manipular resultados de búsqueda y favorecer sitios de apuestas.
Según un reciente reporte de ESET, basado en telemetría y un escaneo de Internet realizado en junio de 2025, se detectó al menos 65 servidores afectados. Estos se encuentran distribuidos principalmente en países de Latinoamérica y el sudeste asiático, con otras instancias en Estados Unidos y varias regiones más.
Técnicamente, la campaña emplea el grupo se compone de dos herramientas hasta ahora no documentadas: Rungan, un backdoor pasivo escrito en C++ que facilita la ejecución de comandos y el mantenimiento del acceso; y Gamshen, un módulo nativo para IIS que modifica las respuestas HTTP cuando la petición procede del rastreador de Google (Googlebot).
Bajo esta técnica, el actor puede inyectar contenido o enlaces destinados a inflar artificialmente el posicionamiento de sitios objetivo. Esto sin exponer directamente a los visitantes habituales al contenido malicioso.
“Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de Googlebot, es decir, no sirve contenido malicioso ni afecta de otro modo a los visitantes habituales de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas SEO fraudulentas, así como con los sitios web impulsados”, explica Fernando Tavella, investigador de ESET quien hizo el descubrimiento.
Acceso inicial y recomendaciones
Según los investigadores de ESET, el acceso inicial probablemente se logró mediante una inyección SQL en aplicaciones web vulnerables. Desde allí los atacantes desplegaron herramientas de escalada de privilegios, múltiples webshells y módulos maliciosos como respaldo para mantener la persistencia. La operación muestra además prácticas de resiliencia operacional, como la creación de cuentas fraudulentas y la instalación de múltiples vías de acceso.
El principal impacto de este esquema no es un robo de información directo hacia los visitantes, sino el uso abusivo de la reputación y recursos de servidores legítimos para beneficiar sitios externos. Esto puede derivar en penalizaciones por parte de motores de búsqueda, pérdida de tráfico orgánico y daño de marca para los administradores de los servidores comprometidos.
Su alineación con China se basa en herramientas, con cadenas chinas codificadas, mientras que una de las contraseñas de los usuarios creados por el grupo contiene la palabra china huang (amarillo). De igual manera, en el ataque se utilizó un certificado de firma de código emitido por una empresa china.
Por ahora, ESET indica que ya notificó a las víctimas detectadas y publicó una serie de recomendaciones técnicas para mitigar la amenaza. Entre las medidas generales aconsejadas están: aplicar parches y actualizaciones en aplicaciones web y servicios, auditar entradas que puedan permitir inyección SQL, revisar logs y webshells, rotar credenciales y aplicar controles de acceso más estrictos, así como desplegar soluciones de detección y respuesta en endpoints y servidores web.
