ESET Research heeft een nieuwe Chinese hackergroep ontdekt. De groep, omgedoopt als “GhostRedirector”, compromitteerde al 65 Windows-servers met unieke malware. Vooralsnog blijft Europa buiten schot. GhostRedirector richt zich op bedrijven in Amerika en Zuidoost-Azië en gebruikt geavanceerde backdoors om toegang te behouden.
GhostRedirector toont opmerkelijke vastberadenheid door meerdere toegangsmethoden te implementeren. Naast hun eigen tools gebruiken ze publiek bekende exploits zoals EfsPotato en BadPotato om bevoorrechte gebruikersaccounts aan te maken. Deze fungeren als back-up-optie voor wanneer hun primaire backdoors worden ontdekt.
“GhostRedirector demonstreert aanhoudendheid en operationele veerkracht door meerdere externe toegangstools te plaatsen op gecompromitteerde servers”, verklaart ESET-onderzoeker Fernando Tavella. De groep creëert ook valse gebruikersaccounts om langdurige toegang tot gecompromitteerde infrastructuur te behouden.
Nieuwe dreiging uit China
Cyberonderzoekers van ESET hebben een voorheen onbekende Chinese hackergroep blootgelegd die minstens 65 Windows-servers wereldwijd heeft gecompromitteerd. De groep, door ESET gedoopt tot “GhostRedirector”, viel vooral bedrijven aan in Brazilië, Thailand, Vietnam en de Verenigde Staten.
De aanvallers gebruiken twee op maat gemaakte tools: Rungan, een passieve C++ backdoor, en Gamshen, een kwaadaardige Internet Information Services (IIS)-module. Deze laatste heeft een opmerkelijke eigenschap: het voert SEO-fraude uit door Google-zoekmachine resultaten te manipuleren.
Doorlopende campagne sinds december
ESET’s telemetrie toont dat GhostRedirector actief was tussen december 2024 en april 2025. Een internet-scan in juni onthulde nog meer slachtoffers. De groep lijkt zich niet te richten op één specifieke sector, maar valt organisaties aan in onderwijs, gezondheidszorg, verzekeringen, transport, technologie en retail.
ESET heeft alle geïdentificeerde slachtoffers geïnformeerd over de compromittering en biedt mitigatie-aanbevelingen in een uitgebreide whitepaper.
Lees ook: Rusland valt Microsoft digitaal aan: mailaccounts ‘senior leadership’ gehackt