GhostRedirector: Chinese hackers teisteren Windows-servers

In dit artikel:

ESET Research heeft een tot nog toe onbekende Chinese hackergroep geïdentificeerd die minstens 65 Windows-servers heeft gekaapt. De groep, door ESET “GhostRedirector” genoemd, was vooral actief tussen december 2024 en april 2025; een extra internet-scan in juni toonde nog meer slachtoffers. Targets bevinden zich voornamelijk in Brazilië, Thailand, Vietnam en de Verenigde Staten; Europa lijkt nog buiten schot.

GhostRedirector gebruikt meerdere middelen om blijvende toegang te verzekeren. Ze zetten twee op maat gemaakte backdoors in — Rungan (een passieve C++ backdoor) en Gamshen (een kwaadaardige IIS-module) — en installeren daarnaast publiek bekende exploits zoals EfsPotato en BadPotato om bevoegde accounts aan te maken. Ook maken ze valse gebruikersaccounts aan als extra toegangsroute. De IIS-module voert bovendien SEO-fraude uit door Google-zoekresultaten te manipuleren, wat duidt op zowel clandestiene toegang als misbruik van verkeer en zichtbaarheid.

ESET waarschuwde alle geïdentificeerde slachtoffers en publiceerde een whitepaper met mitigatieadviezen. Onderzoeker Fernando Tavella benadrukt dat de groep klaarteksten van veerkracht en doorzettingsvermogen laat zien door meerdere redundante toegangsmethoden te gebruiken. Organisaties wordt geadviseerd systematisch te scannen op onbekende IIS-modules, verdachte accounts en bekende privilege-escalatie-exploits en kwetsbaarheden direct te dichten.