Die Masche der Gruppe: Infiltration von Windows-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv. Die Hacker setzen zwei bislang undokumentierte Eigenentwicklungen ein: „Rungan“ und „Gamshen“. Mit diesen Werkzeugen manipulieren sie Suchergebnisse, um zwielichtige Websites im Google-Ranking nach oben zu bringen. ESET ordnet GhostRedirector als China-nah ein.
„GhostRedirector kombiniert ausgefeilte Techniken mit bekannten Exploits. Das zeigt: Die Gruppe hat Ressourcen und Know-how“, sagt ESET Forscher Fernando Tavella, der die Masche entdeckt hat. „Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihre Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz.“
Als Trittbrettfahrer zu einem besseren Google-Ranking
Die Angriffe folgen einem klaren Ablauf. Der Erstzugriff erfolgt wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handelt es sich um eine beliebte Hacking-Technik, die Sicherheitslücken in SQL-Datenbanken ausnutzt. Danach laden die Täter weitere Komponenten nach. Für die Rechteausweitung nutzen die bekannten Exploits EfsPotato und BadPotato, legen Administratorkonten an und sichern sich zusätzlichen Fernzugriff. So bleibt der Zugang erhalten, selbst falls einzelne Werkzeuge entfernt werden. Für den Angriff nutzen die Hacker zudem diese beiden selbstentwickelten Werkzeuge:
- Rungan ist eine unauffällige Hintertür für Windows-Server. Sie lauscht auf eine feste, versteckte Webadresse und nimmt darüber einfache HTTP-Befehle entgegen, die sie direkt auf dem System ausführt – vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos. Die Schnittstelle registriert sich am Betriebssystem vorbei am IIS-Webserver, sodass sie in gängigen Logs leicht übersehen wird. Die Steuerung läuft im Klartext.
- Gamshen ist ein schadhaftes Internet Information Services (IIS)-Modul, also eine Erweiterung für Server. Es manipuliert gezielt die Google-Suche, indem es bei einer Abfrage des Googlebot die Antwort des Servers manipuliert, um das Ranking anderer Websites zu verbessern. Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.
Der Googlebot ist Googles automatisches Programm, das Websites besucht und deren Inhalte für die Suchmaschine indexiert. So hält Google seine Trefferlisten aktuell.
„Gamshen manipuliert ausschließlich Anfragen des Googlebot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z. B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht. Mit dieser Hacking-Technik schaden die Cyberkriminellen in erster Linie Webseitenbetreibern“, so Tavella weiter.
Zielregion: weltweit, Branche: egal
ESET beobachtete Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie. Eine internetweite Suche im Juni 2025 deckte weitere Opfer auf. Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein. Ein Fokus auf einzelne Branchen ist nicht erkennbar; betroffen sind unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET hat identifizierte Betreiber informiert.
„GhostRedirector ist eine äußerst ausdauernde Hackergruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur“, schließt Tavella ab.
