{"id":58069,"date":"2025-09-06T23:16:14","date_gmt":"2025-09-07T02:16:14","guid":{"rendered":"https:\/\/temucotelevision.cl\/web\/?p=58069"},"modified":"2025-09-06T23:16:16","modified_gmt":"2025-09-07T02:16:16","slug":"eset-descubre-un-nuevo-grupo-de-amenazas-chino-ghostredirector-manipula-resultados-seo-en-google-e-infecta-servidores-windows","status":"publish","type":"post","link":"https:\/\/temucotelevision.cl\/web\/2025\/09\/06\/eset-descubre-un-nuevo-grupo-de-amenazas-chino-ghostredirector-manipula-resultados-seo-en-google-e-infecta-servidores-windows\/","title":{"rendered":"ESET descubre un nuevo grupo de amenazas chino: GhostRedirector manipula resultados SEO en Google e infecta servidores Windows\u00a0"},"content":{"rendered":"
<\/div>

<\/path><\/svg><\/i> \"Loading\"<\/p>

<\/div>\n

ESET identific\u00f3 al menos 65 servidores Windows comprometidos, principalmente en Brasil y Per\u00fa, que busca manipular los resultados de b\u00fasqueda de Google para posicionar sitios maliciosos.<\/em><\/p>\n\n\n\n

El equipo de investigaci\u00f3n de\u00a0ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 un nuevo actor malicioso alineado a China, al que ha bautizado como GhostRedirector. En junio de 2025, este actor malicioso comprometi\u00f3 al menos 65 servidores Windows, principalmente en Brasil, Per\u00fa, Tailandia, Vietnam y Estados Unidos. Cada uno de estos servidores maneja miles de peticiones por lo que el alcance y magnitud de este tipo de amenazas es incalculable.<\/p>\n\n\n\n

Las v\u00edctimas identificadas se encuentran en diferentes regiones geogr\u00e1ficas, la mayor\u00eda de los servidores comprometidos ubicados en Estados Unidos parecen haber sido alquilados a empresas con sede en Brasil, Tailandia y Vietnam, donde se encuentran el resto de los servidores comprometidos. Debido a esto, desde ESET suponen que el inter\u00e9s era atacar a v\u00edctimas de Am\u00e9rica Latina y el sudeste asi\u00e1tico. A su vez, GhostRedirector no parece apuntar a un \u00e1mbito concreto, ya que ESET identific\u00f3 v\u00edctimas en m\u00faltiples sectores, entre ellos educaci\u00f3n, salud, seguros, transporte, tecnolog\u00eda y comercio minorista.<\/p>\n\n\n\n

\"image.png\"\/<\/figure>\n\n\n\n

Pie de imagen: Pa\u00edses en los que se detectaron v\u00edctimas de GhostRedirector. El actor malicioso comprometi\u00f3 servidores Windows, principalmente en Brasil, Tailandia, Vietnam y Estados Unidos, mientras otras v\u00edctimas se encontraban en Per\u00fa, Canad\u00e1, Finlandia, India, Pa\u00edses Bajos, Filipinas y Singapur.<\/p>\n\n\n\n

GhostRedirector utiliz\u00f3 dos herramientas personalizadas y hasta ahora desconocidas: un backdoor pasivo en C++ al que ESET bautiz\u00f3 como Rungan<\/em>, que tiene la capacidad de ejecutar comandos en un servidor comprometido. Por otro lado, un m\u00f3dulo malicioso de Internet Information Services (IIS) al que denominaron Gamshen<\/em>, cuyo prop\u00f3sito es proporcionar fraude SEO (Search Engine Optimization) como servicio\u201d para manipular los resultados del motor de b\u00fasqueda de Google<\/strong>, aumentando el ranking de sitios webs objetivos configurados. El objetivo es promocionar artificialmente varios sitios web de apuestas.<\/p>\n\n\n\n

\u201cAunque Gamshen solo modifica la respuesta cuando la solicitud proviene de Googlebot, es decir, no sirve contenido malicioso ni afecta de otro modo a los visitantes habituales de los sitios web, la participaci\u00f3n en el esquema de fraude SEO puede da\u00f1ar la reputaci\u00f3n del sitio web anfitri\u00f3n comprometido al asociarlo con t\u00e9cnicas SEO fraudulentas, as\u00ed como con los sitios web impulsados\u201d, explica el investigador de ESET, Fernando Tavella, quien hizo el descubrimiento.<\/p>\n\n\n\n

\"image.png\"\/<\/figure>\n\n\n\n

Pie de imagen: Imagen de sitio web de juegos de azar potencialmente utilizada por GhostRedirector en su esquema de fraude SEO.<\/p>\n\n\n\n

GhostRedirector, seg\u00fan ESET, es probablemente un agente malicioso, desconocido al momento, alineado con China. Esto se basa en que varias muestras de herramientas tienen cadenas chinas codificadas, asimismo en el ataque se utiliz\u00f3 un certificado de firma de c\u00f3digo emitido por una empresa china, y en que una de las contrase\u00f1as de los usuarios creados por GhostRedirector en el servidor comprometido contiene la palabra huang, que en chino significa amarillo.<\/p>\n\n\n\n

A su vez, seg\u00fan la telemetr\u00eda de ESET, GhostRedirector probablemente obtiene el acceso inicial a sus v\u00edctimas aprovechando una vulnerabilidad, de una inyecci\u00f3n SQL. Los atacantes comprometen un servidor Windows y, a continuaci\u00f3n, descargan y ejecutan varias herramientas maliciosas: una herramienta de escalada de privilegios, malware que descarga m\u00faltiples webshells o backdoor, y el troyano IIS. Adem\u00e1s del prop\u00f3sito obvio de las herramientas de escalada de privilegios, tambi\u00e9n pueden utilizarse como respaldo en caso de que el grupo pierda el acceso al servidor comprometido. Las capacidades de backdoor incluyen la comunicaci\u00f3n en red, la ejecuci\u00f3n de archivos, el listado de directorios y la manipulaci\u00f3n tanto de los servicios como de las claves del registro de Windows.<\/p>\n\n\n\n

\u201cGhostRedirector tambi\u00e9n demuestra persistencia y resiliencia operativa al implementar m\u00faltiples herramientas de acceso remoto en el servidor comprometido, adem\u00e1s de crear cuentas de usuario fraudulentas, todo ello con el fin de mantener el acceso a largo plazo en la infraestructura comprometida\u201d, afirma Tavella.<\/p>\n\n\n\n

La telemetr\u00eda de ESET detect\u00f3 ataques de GhostRedirector entre diciembre de 2024 y abril de 2025, y un an\u00e1lisis de todo Internet realizado en junio de 2025 identific\u00f3 m\u00e1s v\u00edctimas. ESET notific\u00f3 el compromiso a todas las v\u00edctimas identificadas en el an\u00e1lisis. Las recomendaciones para mitigar el problema se pueden encontrar en el informe t\u00e9cnico completo<\/a> publicado anteriormente.<\/p>\n\n\n\n

Para obtener un an\u00e1lisis m\u00e1s detallado y un desglose t\u00e9cnico de GhostRedirector, consulte la \u00faltima entrada del blog de ESET Research, \u00abGhostRedirector manipula resultados SEO en Google e infecta servidores Windows<\/strong><\/a>\u00bb, en WeLiveSecurity.com.<\/p>\n\n\n\n

Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw<\/a><\/p>\n\n\n\n

Vis\u00edtanos en: <\/strong> <\/p>\n\n\n\n

     \"Logotipo\n\nEl @ESETLA<\/a>    \"http:\/\/www.gedestic.es\/wp-content\/uploads\/2013\/10\/linkedin-logo.png\" \/compay\/eset-latinoamerica<\/a>  \"image.png\"\/esetla<\/a>   \"image.png\"\/ESETLA<\/a>     \"image.png\" \/@esetla<\/a><\/p>\n\n\n\n

Acerca de ESET<\/strong><\/p>\n\n\n\n

ESET\u00ae proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al combinar el poder de la IA y la experiencia humana, ESET\u00ae se anticipa a las ciberamenazas conocidas y emergentes, asegurando empresas, infraestructuras cr\u00edticas e individuos. Ya sea protecci\u00f3n de endpoints, nube o dispositivos m\u00f3viles, sus soluciones y servicios nativos de IA y basados en la nube son altamente efectivos y f\u00e1ciles de usar. La tecnolog\u00eda de ESET incluye detecci\u00f3n y respuesta s\u00f3lidas, cifrado ultraseguro y autenticaci\u00f3n multifactor. Con defensa en tiempo real las 24 horas, los 7 d\u00edas de la semana y un s\u00f3lido soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin interrupciones. Un panorama digital en constante evoluci\u00f3n exige un enfoque progresivo de la seguridad: ESET\u00ae est\u00e1 comprometido con una investigaci\u00f3n de clase mundial y una potente inteligencia sobre amenazas, respaldada por centros de I+D y una s\u00f3lida red global de socios. Para obtener m\u00e1s informaci\u00f3n, visite https:\/\/www.eset.com\/latam<\/a> o s\u00edganos en LinkedIn<\/a>, Facebook <\/a>y Twitter<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

<\/div>\n

<\/path><\/svg><\/i> \"Loading\"<\/p>\n

<\/div>\n

ESET identific\u00f3 al menos 65 servidores Windows comprometidos, principalmente en Brasil y Per\u00fa, que busca manipular los resultados de b\u00fasqueda<\/p>\n","protected":false},"author":1,"featured_media":58070,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[6973],"tags":[7083],"class_list":["post-58069","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-eset"],"a3_pvc":{"activated":true,"total_views":6123,"today_views":0},"_links":{"self":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/58069","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/comments?post=58069"}],"version-history":[{"count":1,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/58069\/revisions"}],"predecessor-version":[{"id":58071,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/58069\/revisions\/58071"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/media\/58070"}],"wp:attachment":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/media?parent=58069"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/categories?post=58069"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/tags?post=58069"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}