LA VOZ DE GOICOECHEA (Por Abraham Andreu).- Un nuevo actor de amenazas relacionado con China y conocido como GhostRedirector ha envenenado el buscador de Google, además de infectar servidores Windows.
La guerra cibernética entre diferentes Estados se intensifica y el último objetivo de los hackers patrocinados por países, concretamente desde China, es el buscador de Google y los servidores de Windows.
Según el último análisis técnico de la compañía especializada en ciberseguridad ESET, basándose en diversos factores, se puede concluir que el actor de amenazas previamente desconocido es aliado de China y es el responsable de estos ataques.
Así, lo han bautizado como GhostRedirector y es uno de los más peligrosos que han podido verse en los últimos años, ya que ha sido capaz de utilizar puertas traseras para ejecutar comandos en los servidores de la víctima.
A nivel mundial, se han podido identificar hasta 65 servidores de Windows afectados, concretamente en países como Brasil, Tailandia y Vietnam, gracias a una puerta trasera en C++ a la que se ha denominado Rungan.
El nuevo actor de amenazas, GhostRedirector, ha usado 2 herramientas que nunca habían sido identificadas, como la puerta trasera pasiva en C++ –la ya mencionada Rungan– y un módulo malicioso en Internet Information Services (IIS), bautizado como Gamshen.
Estas herramientas, no obstante, son bastante diferentes, aunque forman parte de la misma estrategia de ataque: mientras que Rungan permite la ejecución de comandos en servidores comprometidos, Gamshen se dedica a ofrecer fraude SEO como servicio.
En definitiva, Gamshen está dirigido a envenenar el buscador de Google para mejorar el posicionamiento web de un sitio previamente configurado, aunque solo modifica la respuesta cuando la solicitud proviene de Googlebot –un rastreador de Google que se hace pasar por un usuario–.
Concretamente, Gamshen se implementa en el módulo nativo de ISS –el software del servidor web de Microsoft para Windows–, y podría clasificarse como un troyano con el objetivo principal de facilitar el fraude SEO, en las búsquedas de Google.
En el análisis de ESET, referente al período comprendido entre los meses de diciembre de 2024 a junio de 2025, también se han identificado víctimas adicionales a los países mencionados, siendo Portugal uno de los pocos en la región europea.
Aunque todo apunta en el informe técnico que los principales objetivos formaban parte de territorios como Estados Unidos y América Latina.
La gran preocupación de los analistas de ciberseguridad respecto a GhostRedirector es su capacidad de resistir y cambiar de forma, con el objetivo de mantener el acceso a largo plazo en la infraestructura comprometida.
Ningún actor de amenazas se ha atribuido este ataque, aunque todo apunta a China: varias cadenas codificadas están en chino, se ha usado un certificado de firma de código emitido a una compañía del país y una de las contraseñas de usuarios creados por el grupo contiene un término chino.
Finalmente, parece que GhostRedirector no tiene interés en un sector en particular, ya que se han identificado ataques en industrias como la atención médica, los seguros, el transporte, la tecnología, el comercio minorista y la educación.
Según el último análisis técnico de la compañía especializada en ciberseguridad ESET, basándose en diversos factores, se puede concluir que el actor de amenazas previamente desconocido es aliado de China y es el responsable de estos ataques.
Así, lo han bautizado como GhostRedirector y es uno de los más peligrosos que han podido verse en los últimos años, ya que ha sido capaz de utilizar puertas traseras para ejecutar comandos en los servidores de la víctima.
A nivel mundial, se han podido identificar hasta 65 servidores de Windows afectados, concretamente en países como Brasil, Tailandia y Vietnam, gracias a una puerta trasera en C++ a la que se ha denominado Rungan.
El nuevo actor de amenazas, GhostRedirector, ha usado 2 herramientas que nunca habían sido identificadas, como la puerta trasera pasiva en C++ –la ya mencionada Rungan– y un módulo malicioso en Internet Information Services (IIS), bautizado como Gamshen.
Estas herramientas, no obstante, son bastante diferentes, aunque forman parte de la misma estrategia de ataque: mientras que Rungan permite la ejecución de comandos en servidores comprometidos, Gamshen se dedica a ofrecer fraude SEO como servicio.
En definitiva, Gamshen está dirigido a envenenar el buscador de Google para mejorar el posicionamiento web de un sitio previamente configurado, aunque solo modifica la respuesta cuando la solicitud proviene de Googlebot –un rastreador de Google que se hace pasar por un usuario–.
Concretamente, Gamshen se implementa en el módulo nativo de ISS –el software del servidor web de Microsoft para Windows–, y podría clasificarse como un troyano con el objetivo principal de facilitar el fraude SEO, en las búsquedas de Google.
En el análisis de ESET, referente al período comprendido entre los meses de diciembre de 2024 a junio de 2025, también se han identificado víctimas adicionales a los países mencionados, siendo Portugal uno de los pocos en la región europea.
Aunque todo apunta en el informe técnico que los principales objetivos formaban parte de territorios como Estados Unidos y América Latina.
La gran preocupación de los analistas de ciberseguridad respecto a GhostRedirector es su capacidad de resistir y cambiar de forma, con el objetivo de mantener el acceso a largo plazo en la infraestructura comprometida.
Ningún actor de amenazas se ha atribuido este ataque, aunque todo apunta a China: varias cadenas codificadas están en chino, se ha usado un certificado de firma de código emitido a una compañía del país y una de las contraseñas de usuarios creados por el grupo contiene un término chino.
Finalmente, parece que GhostRedirector no tiene interés en un sector en particular, ya que se han identificado ataques en industrias como la atención médica, los seguros, el transporte, la tecnología, el comercio minorista y la educación.
*
Los comentarios expresados en las secciones de opinión, derechos de respuesta, reclamos del pueblo, campos pagados, negociemos, y en la opinión de los lectores y comentarios de terceros al final de las notas o en las páginas de redes sociales, son responsabilidad exclusiva de sus autores. La Voz de Goicoechea (www.lavozdegoicoechea.info) es un medio de comunicación independiente, y no toma como suyas dichas opiniones por lo que no se responsabiliza por el contenido emitido por terceros. Todas las imágenes que muestra este medio, se utilizan solo con fines ilustrativos, por tanto se respetan todos los derechos de autor según corresponda en cada caso, siendo nuestra principal labor de la informar a nuestros lectores.
Porque nuestros seguidores internacionales, nos lo han solicitado. Ahora
pueden apoyarnos financieramente, desde cualquier lugar del mundo
https://www.paypal.me/LaVozdeGoicoechea
For more information, please write to us at: soporte@lavozdegoicoechea.info
Apóyanos para seguir ejerciendo un periodismo serio e
independiente
Somos La Voz de Goicoechea
El periódico digital de nuestro querido cantón
Escríbannos a nuestro correo electrónico
Y déjanos tus comentarios al final de cada nota que presentamos
nos interesa tú opinión al respecto. Te invitamos a participar...
nos interesa tú opinión al respecto. Te invitamos a participar...
2017 © 2025
Miembro de la Red de Medios Alternativos Independientes - REDMAI
Producciones Periodísticas y Publicitarias Montezuma
Goicoechea, San José - Costa Rica
0 Comentarios
Queremos ver tus comentarios, estos nos enriquecen y ayudan a mejorar nuestras publicaciones :
_______________________________________________