La guerra cibernética entre diferentes Estados se intensifica y el último objetivo de los hackers patrocinados por países, concretamente desde China, es el buscador de Google y los servidores de Windows.
Según el último análisis técnico de la compañía especializada en ciberseguridad ESET, basándose en diversos factores, se puede concluir que el actor de amenazas previamente desconocido es aliado de China y es el responsable de estos ataques.
Así, lo han bautizado como GhostRedirector y es uno de los más peligrosos que han podido verse en los últimos años, ya que ha sido capaz de utilizar puertas traseras para ejecutar comandos en los servidores de la víctima.
A nivel mundial, se han podido identificar hasta 65 servidores de Windows afectados, concretamente en países como Brasil, Tailandia y Vietnam, gracias a una puerta trasera en C++ a la que se ha denominado Rungan.
El nuevo actor de amenazas, GhostRedirector, ha usado 2 herramientas que nunca habían sido identificadas, como la puerta trasera pasiva en C++ –la ya mencionada Rungan– y un módulo malicioso en Internet Information Services (IIS), bautizado como Gamshen.
Estas herramientas, no obstante, son bastante diferentes, aunque forman parte de la misma estrategia de ataque: mientras que Rungan permite la ejecución de comandos en servidores comprometidos, Gamshen se dedica a ofrecer fraude SEO como servicio.
En definitiva, Gamshen está dirigido a envenenar el buscador de Google para mejorar el posicionamiento web de un sitio previamente configurado, aunque solo modifica la respuesta cuando la solicitud proviene de Googlebot –un rastreador de Google que se hace pasar por un usuario–.
Concretamente, Gamshen se implementa en el módulo nativo de ISS –el software del servidor web de Microsoft para Windows–, y podría clasificarse como un troyano con el objetivo principal de facilitar el fraude SEO, en las búsquedas de Google.
En el análisis de ESET, referente al período comprendido entre los meses de diciembre de 2024 a junio de 2025, también se han identificado víctimas adicionales a los países mencionados, siendo Portugal uno de los pocos en la región europea.
Aunque todo apunta en el informe técnico que los principales objetivos formaban parte de territorios como Estados Unidos y América Latina.
La gran preocupación de los analistas de ciberseguridad respecto a GhostRedirector es su capacidad de resistir y cambiar de forma, con el objetivo de mantener el acceso a largo plazo en la infraestructura comprometida.
Ningún actor de amenazas se ha atribuido este ataque, aunque todo apunta a China: varias cadenas codificadas están en chino, se ha usado un certificado de firma de código emitido a una compañía del país y una de las contraseñas de usuarios creados por el grupo contiene un término chino.
Finalmente, parece que GhostRedirector no tiene interés en un sector en particular, ya que se han identificado ataques en industrias como la atención médica, los seguros, el transporte, la tecnología, el comercio minorista y la educación.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Google Apps, ciberataques, Windows 11, china, Ciberseguridad
