Un acteur malveillant jusqu’alors inconnu, appelé GhostRedirector, a compromis au moins 65 serveurs Windows et les a exploités pour fournir des services de référencement (SEO) frauduleux à des tiers. Selon le chercheur en sécurité ESET Research, les origines du groupe sont presque certainement chinoises.
Ces derniers mois, des serveurs Windows dans le monde entier ont été contaminés et équipés de deux outils clandestins: une porte dérobée passive C++ baptisée Rungan par l’entreprise de sécurité slovaque ESET Research, et Gamshen, un module malveillant d’Internet Information Services (IIS). Le premier est capable d’exécuter des instructions à distance sur un serveur compromis, tandis que le second propose une fraude SEO as-a-service: des tiers peuvent ainsi manipuler les résultats de recherche de Google pour améliorer le classement des pages d’un site web ciblé. L’objectif ultime, selon ESET, est de promouvoir artificiellement divers sites de paris.
Un peu partout dans le monde
Au moins 65 serveurs ont été compromis, notamment aux Etats-Unis, au Brésil, en Thaïlande, au Vietnam, au Canada, en Finlande, en Inde, aux Pays-Bas, aux Philippines et à Singapour. Les victimes ne sont pas liées à un secteur spécifique, mais à plusieurs, notamment les assurances, les soins de santé, la vente au détail, les transports, la technologie et l’enseignement. Le nouveau groupe qui en est à l’origine, a été baptisé GhostRedirector par ESET et est très probablement un acteur malveillant lié à la Chine.
Les intrusions de GhostRedirector sont apparues pour la première fois sur le radar des chercheurs en décembre 2024, et alors que les découvertes s’accumulaient, une analyse à l’échelle d’internet à partir de juin 2025 a mis en évidence l’ampleur que l’attaque semble avoir prise aujourd’hui.
Plan B
Outre les nouveaux outils Rungan et Gamshen, GhostRedirector semble également avoir utilisé de nombreuses failles de sécurité bien connues, telles qu’EfsPotato et BadPotato. Celles-ci permettent notamment à un utilisateur clandestin de créer des privilèges d’accès sur le serveur, lui permettant ainsi de télécharger et d’exécuter d’autres composantes malveillantes. Les agresseurs ont ainsi pu élaborer une solution de secours – un plan B – au cas où la porte dérobée Rungan ou d’autres outils malveillants seraient découverts et supprimés.
Ce faisant, GhostRedirector démontre ‘une persistance et une résilience opérationnelle’, explique Fernando Tavella, chercheur chez ESET, qui a fait ces découvertes, ‘en déployant plusieurs outils d’accès à distance sur le serveur compromis, en plus de créer des comptes utilisateurs malveillants, dans le but de tenter de maintenir un accès à long terme à l’infrastructure compromise.’