José ZegarraESET descubre a GhostRedirector: un grupo chino que manipula resultados SEO en Google. GhostRedirector infecta servidores Windows y manipula SEO en Google, según ESET
Buenos Aires, Argentina, 5 de septiembre de 2025.— El equipo de investigación de ESET, referente global en detección proactiva de amenazas, identificó a un nuevo grupo malicioso denominado GhostRedirector, con presunto origen en China.
En junio de 2025, este actor comprometió al menos 65 servidores Windows en países como Brasil, Perú, Tailandia, Vietnam y Estados Unidos. El objetivo principal: manipular los resultados de Google Search para posicionar sitios maliciosos, con especial énfasis en páginas de apuestas.
El impacto es significativo, ya que cada servidor maneja miles de solicitudes, lo que multiplica el alcance de esta campaña de manipulación digital y fraude SEO.
Table of Contents
Servidores comprometidos y regiones afectadas
De acuerdo con ESET, gran parte de los servidores comprometidos en Estados Unidos habían sido arrendados por compañías con sede en Brasil, Tailandia y Vietnam. Esta infraestructura distribuida evidencia un patrón orientado a atacar principalmente a América Latina y el sudeste asiático.
Las víctimas identificadas pertenecen a múltiples sectores: educación, salud, seguros, transporte, tecnología y comercio minorista, lo que demuestra que GhostRedirector no discrimina ámbitos específicos en su accionar.
Herramientas maliciosas: Rungan y Gamshen
La investigación de ESET reveló el uso de dos herramientas inéditas:
- Rungan, un backdoor pasivo en C++, diseñado para ejecutar comandos en servidores comprometidos.
- Gamshen, un módulo malicioso de Internet Information Services (IIS), orientado a ofrecer fraude SEO como servicio.
Este último modifica las respuestas únicamente cuando provienen de Googlebot, sin afectar al visitante común. Sin embargo, al estar vinculado con técnicas fraudulentas, deteriora la reputación de los sitios web comprometidos.
“Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de Googlebot, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas SEO fraudulentas”, explicó Fernando Tavella, investigador de ESET y descubridor del ataque.
Origen y persistencia de GhostRedirector
Los indicios señalan que el grupo tiene un vínculo con China, ya que las herramientas contienen cadenas de texto en chino, se usó un certificado emitido por una compañía de ese país y una de las contraseñas creadas incluía la palabra huang (“amarillo” en chino).
Según la telemetría de ESET, el acceso inicial se habría logrado mediante una inyección SQL. Posteriormente, los atacantes descargaron múltiples herramientas: escaladores de privilegios, webshells, backdoors y un troyano IIS.
Las capacidades incluyen ejecución remota de archivos, manipulación de servicios de Windows, control de claves de registro y creación de cuentas fraudulentas.
“GhostRedirector también demuestra persistencia y resiliencia operativa al implementar múltiples herramientas de acceso remoto, además de crear cuentas de usuario falsas para mantener el acceso prolongado a los servidores comprometidos”, afirmó Tavella.
Campaña activa y recomendaciones
Los ataques fueron detectados por ESET entre diciembre de 2024 y abril de 2025, y un escaneo global en junio de 2025 permitió identificar nuevas víctimas. Todas fueron notificadas por la compañía.
ESET recomienda revisar las configuraciones de seguridad, aplicar actualizaciones y seguir las recomendaciones de su informe técnico completo publicado en WeLiveSecurity.
Además, invita a la comunidad a escuchar su podcast Conexión Segura, disponible en Spotify, para mantenerse al día sobre las amenazas más recientes en el mundo de la ciberseguridad.
Tu Opinión Importa
¿Qué opinas sobre este descubrimiento de ESET y los riesgos del fraude SEO?. Comparte tu visión en los comentarios usando los hashtags #superfan y #itusersawards2024-2025. Participa y podrás ganar gadgets tecnológicos y premios sorpresa.
Apoya al Periodismo Independiente
¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457
