A ESET identificou um novo agente de ameaças, GhostRedirector, alinhado com a China, que desde Dezembro de 2024 compromete pelo menos 65 servidores Windows para manipular resultados do Google e impulsionar artificialmente sites de jogos de azar.
O grupo usa duas peças de malware inéditas: o backdoor Rungan, escrito em C++ e de perfil passivo, e o módulo malicioso de IIS chamado Gamshen, responsável por adulterar respostas apenas quando o visitante é o Googlebot. Para o utilizador comum, a página parece normal, é SEO furtivo a operar nos bastidores.
GhostRedirector, Gamshen e Google: como funciona a fraude de SEO
O Gamshen injeta conteúdo e ligações direccionadas a partir dos servidores comprometidos, explorando a reputação do domínio vítima para inflacionar rankings do site que se pretende promover.
A técnica é um “SEO fraud-as-a-service”: invisível para visitantes, visível para crawlers do Google, até chegar a penalizações e alertas de reputação.
Em paralelo, o Rungan garante comando remoto no servidor para manter e renovar o controlo.
Alvos, sectores e geografia
A maioria dos sistemas afectados localiza-se no Brasil, Tailândia, Vietname e Estados Unidos, com casos adicionais no Canadá, Finlândia, Índia, Países Baixos, Filipinas e Singapura. Não há um sector único visado: educação, saúde, seguros, transportes, tecnologia e retalho surgem no radar — o denominador comum é o Windows Server com IIS exposto e com falhas por corrigir.
A porta de entrada: da SQL injection ao IIS
Segundo a ESET, o acesso inicial terá explorado vulnerabilidades de aplicação web, muito provavelmente SQL injection, seguido do uso de scripts PowerShell para elevação de privilégios e instalação dos componentes.
Observou-se ainda o recurso a técnicas “Potato”, como BadPotato e EfsPotato, para escalar privilégios e criar contas administrativas persistentes, plano B caso o backdoor seja removido.
O que isto significa para quem gere servidores
Se tem IIS em produção, este caso é um lembrete útil. Verifique módulos nativos e ISAPI filters instalados, valide a assinatura e a origem de cada DLL, reveja permissões de pasta %SystemDrive%\inetpub e monitorize padrões de user-agent que emulam o Googlebot com IPs que não pertencem ao Google.
Actualize o CMS e as aplicações para mitigar SQL injection, aplique patches de Windows Server, reforce WAF/IDS e ligue logging detalhado de IIS com comparação entre respostas para humanos e crawlers. Se notar quedas súbitas de ranking ou alertas do Search Console, investigue adulterações condicionais a Googlebot.
Resumindo
O GhostRedirector não rouba dados para revender, vende posições no Google usando os seus servidores como megafone. A táctica mistura um backdoor discreto com um módulo IIS feito à medida para enganar motores de busca.
Moral da história: endureça o seu Windows Server, feche SQL injection, vigie o que o seu site mostra ao Google e trate a reputação SEO como um activo de segurança. A investigação da ESET dá-nos o mapa, cabe-nos fechar as portas.
