Un gruppo di criminali informatici, che i ricercatori di ESET hanno soprannominato GhostRedirector e collegato all’ecosistema cinese, ha silenziosamente implementato uno schema di manipolazione dei motori di ricerca globali basato su host Windows hackerati. Secondo la telemetria e le scansioni Internet di giugno, almeno 65 server in diversi paesi sono stati compromessi. Le prime infezioni confermate sono state registrate da dicembre, ma una serie di campioni correlati indica attività almeno da agosto 2024, quindi non si tratta di un’epidemia, ma di una campagna a lungo termine con ruoli e infrastrutture consolidati.

Al centro ci sono due componenti appositamente scritti. Rungan è una backdoor passiva scritta in C++ che, una volta attivata, accetta comandi su una macchina compromessa e funge da meccanismo di amministrazione remota silenzioso. Gamshen è un trojan per Internet Information Services che modifica le risposte del server web in modo che Googlebot non veda le pagine originali, ma versioni modificate utili per i domini di gioco d’azzardo di terze parti.

A livello di motore di ricerca, sembra che i siti legittimi linkino massicciamente a risorse promosse e gli algoritmi di ranking interpretano questi link artificiali come raccomandazioni. Di conseguenza, le posizioni dei siti di gioco d’azzardo aumentano e i proprietari di host hackerati non sospettano nemmeno che i loro siti stiano alimentando lo schema SEO di qualcun altro .

La geografia dell’attacco mostra una chiara prevalenza nei paesi del Sud America e dell’Asia meridionale. Il maggior numero di computer infetti è stato rilevato in Brasile, Perù, Thailandia, Vietnam e Stati Uniti, e gli aggressori non si sono limitati a un singolo settore. Sono stati colpiti istituti scolastici, organizzazioni mediche, compagnie assicurative, aziende di trasporti, aziende tecnologiche e del commercio al dettaglio. Tale distribuzione suggerisce che la selezione delle vittime non sia stata determinata dal profilo dell’azienda, ma da segnali tecnici di vulnerabilità e dalla facilità di successiva operatività.

Secondo gli analisti, il punto di ingresso iniziale è associato a specifiche vulnerabilità di SQL injection. Dopo aver compromesso l’applicazione web, gli aggressori hanno proceduto alla fase di espansione dell’accesso e hanno distribuito una catena di loader e strumenti sul server. Gli script di controllo in PowerShell hanno estratto tutti i componenti necessari dallo stesso nodo 868id[.]com, semplificando la logistica dell’attacco e consentendo una rapida sostituzione delle versioni del payload.

Per uscire dal contesto del processo web e raggiungere il livello di amministratore, sono state utilizzate utility basate su exploit pubblici della famiglia Potato, in particolare sulle idee di EfsPotato e BadPotato, ampiamente utilizzate nel segmento criminale di lingua cinese. Alcuni dei campioni presentavano una firma digitale corretta: il certificato è stato rilasciato dal centro TrustAsia RSA Code Signing CA G3 alla società Shenzhen Diyuan Technology. La presenza di una firma valida aumenta l’affidabilità dei meccanismi di protezione nei file eseguibili e ne facilita l’avvio. Dopo aver completato con successo l’escalation dei privilegi , il lavoro è stato completato creando o modificando un account locale con inclusione nel gruppo degli amministratori, il che ha garantito la stabilità del controllo e la possibilità di eseguire operazioni sensibili senza ripetuti attacchi informatici.

Oltre alle backdoor finali, i ricercatori descrivono due moduli ausiliari che forniscono ricognizione e controllo. La libreria Comdai assume una serie di funzioni a livello di backdoor: stabilisce l’interazione di rete con la parte di controllo, crea account con diritti amministrativi, esegue file, ottiene elenchi di directory, interferisce con il funzionamento dei servizi e modifica le chiavi del registro di Windows. Un componente separato, Zunput, è responsabile dell’inventario dei siti web in grado di eseguire contenuti dinamici. Controlla l’attività delle raccolte siti, ne raccoglie i parametri (il percorso fisico alla radice web, il nome del sito, l’indirizzo IP, il nome host) e quindi lascia una web shell sul server per ulteriori operazioni.

La fase finale della catena è l’implementazione di una coppia di Rungan e Gamshen. Il primo esegue una serie di comandi su un nodo hackerato e supporta l’attività operativa remota senza rumore nei log, il secondo trasforma una risorsa legittima in una guarnizione invisibile per la manipolazione delle ricerche. Il trucco chiave di Gamshen è la sostituzione selettiva della risposta solo per Googlebot, e gli inserimenti vengono formati dinamicamente in base ai dati provenienti dal server di controllo C2. In questo modo vengono creati backlink artificiali da domini attendibili alle pagine desiderate, che li spostano nelle prime righe per le query di destinazione. A giudicare dalla descrizione della meccanica, un progetto di terze parti ne trae vantaggio, il che è molto probabile che paghi per il servizio di cheating, e GhostRedirector agisce come un appaltatore tecnico con il proprio arsenale e un proprio set di accessi.

Il quadro emerso da questa operazione mostra quanto strettamente si intersechino oggi le pratiche SEO criminali e l’hacking tradizionale dei server. Da un lato, lo sfruttamento mirato di vulnerabilità, l’escalation dei privilegi, l’entrenchment e i moduli di controllo; dall’altro, un attento lavoro su contenuti e traffico, basato sui segnali comportamentali dei motori di ricerca. Nel complesso, ciò consente in un breve lasso di tempo di creare una rete di link di supporto provenienti da risorse altrui e di aumentare la visibilità dei siti promossi, senza lasciare praticamente tracce visibili per i proprietari dei siti compromessi.

L'articolo GhostRedirector: la campagna di redirect black SEO che manipola i motori di ricerca proviene da il blog della sicurezza informatica.