SET Research ontdekt GhostRedirector: China-gelieerde actor richt zich op Windows-servers

• ESET Research heeft vastgesteld dat minimaal 65 Windows-servers zijn gecompromitteerd, op basis van een internetscan uit juni 2025.
• Volgens ESET gaat het waarschijnlijk om een tot dusver onbekende, China-gelieerde dreigingsactor, die door ESET-onderzoekers de naam GhostRedirector heeft gekregen.
• De slachtoffers bevinden zich voornamelijk in Brazilië, Thailand, Vietnam en de Verenigde Staten.
• De slachtoffers zijn niet afkomstig uit één specifieke sector, maar vertegenwoordigen uiteenlopende sectoren zoals verzekeringen, gezondheidszorg, retail, transport, technologie en onderwijs.
• GhostRedirector heeft een nieuwe C++ backdoor ontwikkeld, genaamd Rungan, die in staat is commando’s uit te voeren op de server van het slachtoffer.
• GhostRedirector heeft daarnaast een kwaadaardige native IIS-module ontwikkeld, Gamshen, die ingezet wordt voor frauduleuze zoekmachineoptimalisatie (SEO).

 

Sliedrecht, 4 september 2025 – ESET –onderzoekers hebben een nieuwe dreigingsactor geïdentificeerd met de naam GhostRedirector. In juni 2025 heeft deze actor minimaal 65 Windows-servers gecompromitteerd, voornamelijk in Brazilië, Thailand, Vietnam en de Verenigde Staten. Andere slachtoffers zijn vastgesteld in Canada, Finland, India, Nederland, de Filipijnen en Singapore. Het slachtoffer In Nederland was een gehuurde server voor een bedrijf in de detailhandel van een ander land. GhostRedirector maakt gebruik van twee tot nu toe onbekende, op maat gemaakte tools: een passieve C++ backdoor die ESET de naam Rungan heeft gegeven en een kwaadaardige Internet Information Services (IIS)-module genaamd Gamshen.

GhostRedirector is zeer waarschijnlijk een China-gelieerde dreigingsactor. Waar Rungan in staat is om opdrachten uit te voeren op een gecompromitteerde server, is het doel van Gamshen om SEO-fraude te leveren als dienst, gericht op het manipuleren van zoekresultaten van Google. Hiermee worden doelwebsites kunstmatig hoger in de zoekresultaten geplaatst, met name gokwebsites.

“Hoewel Gamshen alleen de respons wijzigt wanneer het verzoek afkomstig is van Googlebot, en dus geen schadelijke inhoud levert aan gewone bezoekers, kan deelname aan een SEO-fraudeschema de reputatie van de gecompromitteerde website schaden. Deze wordt dan immers geassocieerd met dubieuze SEO-technieken en de gepromote websites,” aldus ESET-onderzoeker Fernando Tavella, die de dreiging heeft ontdekt.

Naast Rungan en Gamshen maakt GhostRedirector gebruik van een reeks andere op maat gemaakte tools, evenals van publiek bekende exploits zoals EfsPotato en BadPotato, om een bevoorrechte gebruiker op de server aan te maken. Deze gebruiker kan worden ingezet om andere kwaadaardige componenten met verhoogde rechten te downloaden en uit te voeren, of als terugvaloptie als de backdoor Rungan of andere tools worden verwijderd van de gecompromitteerde server.

Hoewel de slachtoffers geografisch verspreid zijn, blijken veel van de gecompromitteerde servers in de Verenigde Staten te zijn gehuurd door bedrijven in Brazilië, Thailand en Vietnam, dezelfde landen waar het grootste aantal directe slachtoffers is vastgesteld. ESET-onderzoekers concluderen hieruit dat GhostRedirector zich vooral richt op doelwitten in Latijns-Amerika en Zuidoost-Azië.

GhostRedirector heeft geen specifieke voorkeur voor één sector; ESET heeft slachtoffers geïdentificeerd in uiteenlopende sectoren zoals onderwijs, gezondheidszorg, verzekeringen, transport, technologie en retail.

Op basis van ESET-telemetrie krijgt GhostRedirector waarschijnlijk initiële toegang via het uitbuiten van een kwetsbaarheid, vermoedelijk een SQL-injectie. Na compromittering van een Windows-server downloaden de aanvallers verschillende kwaadaardige tools: een tool voor privilege-escalatie, malware die meerdere webshells plaatst, of de eerder genoemde backdoor en IIS-Trojan. De privilege-escalatie tools worden ook gebruikt als vangnet wanneer de groep de toegang tot de server dreigt te verliezen.

De functionaliteit van de backdoor omvat netwerkcommunicatie, het uitvoeren van bestanden, het opvragen van mappenlijsten en het manipuleren van zowel services als Windows-registersleutels.

“GhostRedirector toont ook aan vasthoudend en operationeel veerkrachtig te zijn door meerdere tools voor externe toegang te implementeren op de gecompromitteerde server, naast het aanmaken van nepgebruikersaccounts. Dit alles met het doel om langdurige toegang tot de infrastructuur te behouden,”aldus Tavella.

Aanvallen door GhostRedirector zijn waargenomen tussen december 2024 en april 2025. Een wereldwijde internetscan in juni 2025 bracht nog meer slachtoffers aan het licht. ESET heeft alle via deze scan geïdentificeerde slachtoffers op de hoogte gebracht van de compromittering. Aanbevelingen voor mitigatie zijn te vinden in het eerder gepubliceerde uitgebreide whitepaper van ESET.

Voor een diepgaandere analyse en technische details over GhostRedirector, lees de nieuwste blogpost van ESET Research: “GhostRedirector vergiftigt Windows-servers: Backdoors met een bijgerecht van Potatoes” op WeLiveSecurity.com.

Volg ESET Research ook op X (voorheen Twitter) en BlueSky voor het laatste nieuws.

Landen waar slachtoffers van GhostRedirector zijn gedetecteerd:

 

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en managed MDR en SOC diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Onze managed MDR en-/of SOC diensten bieden 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig research onderzoek en betrouwbare Cyber Threat Intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.