ESET expõe novo agente de ameaças alinhado com a China

João Fernandes Por
Set. 08, 2025
ESET expõe novo agente de ameaças alinhado com a China
Segurança e Redes

A ESET, a maior empresa europeia de cibersegurança, revelou a descoberta de um novo agente de ameaças batizado de GhostRedirector, ativo desde finais de 2024 e que comprometeu pelo menos 65 servidores Windows em junho de 2025. As vítimas foram detetadas maioritariamente no Brasil, Tailândia, Vietname e Estados Unidos, mas também em países como Canadá, Finlândia, Índia, Países Baixos, Filipinas e Singapura. Segundo os investigadores, este agente de ameaças tem fortes indícios de estar alinhado com interesses chineses.

O GhostRedirector recorre a um conjunto de ferramentas inéditas e personalizadas, incluindo o Rungan, um backdoor passivo em C++ com capacidade para executar comandos nos sistemas comprometidos, e o Gamshen, um módulo malicioso do Internet Information Services (IIS). O primeiro garante acesso persistente aos servidores, enquanto o segundo é usado para realizar esquemas de fraude de SEO como serviço, manipulando resultados do Google para promover artificialmente sites de jogos de azar. O Gamshen atua de forma discreta, alterando respostas apenas quando a origem é o Googlebot, sem afetar diretamente visitantes regulares, mas prejudicando a reputação dos sites envolvidos.

Além destas duas ferramentas, o GhostRedirector combina outros recursos, incluindo os exploits já conhecidos EfsPotato e BadPotato, que lhe permitem criar utilizadores privilegiados e manter acessos alternativos mesmo que algumas portas de entrada sejam eliminadas. Com estas técnicas, o grupo consegue instalar webshells, descarregar malware adicional e garantir comunicação remota de longa duração. Entre as capacidades observadas estão a execução de ficheiros, manipulação de serviços do Windows, listagem de diretórios e alteração de chaves de registo.

Os investigadores destacam ainda que o GhostRedirector não mostra interesse específico em setores concretos. Pelo contrário, foram identificadas vítimas em áreas diversas como saúde, educação, seguros, transportes, tecnologia e retalho. Apesar disso, a telemetria da ESET indica que os principais alvos estão concentrados na América Latina e no Sudeste Asiático, regiões onde muitos dos servidores comprometidos estavam alugados.

O método de intrusão inicial parece estar associado a injeções SQL, usadas para comprometer os servidores Windows antes de instalar o conjunto de ferramentas maliciosas. A análise mostra que o grupo valoriza fortemente a persistência operacional, recorrendo a múltiplos backdoors e contas fraudulentas para manter o controlo a longo prazo. Esta estratégia garante resiliência contra tentativas de remoção ou deteção.

Os ataques do GhostRedirector foram observados entre dezembro de 2024 e abril de 2025, mas uma análise global em junho revelou novas vítimas. Todas as organizações afetadas foram notificadas pela ESET, que reforça o alerta para este tipo de ameaça combinada, que mistura espionagem digital, fraude e manipulação de serviços online.

Classifique este item
(0 votos)
Ler 487 vezes
Tagged em
Mais nesta categoria: « Vulnerabilidades disparam no primeiro semestre de 2025 Kaspersky lança novas soluções Next para reforçar segurança das PME »

Itens relacionados

Top