Thought Leadership
Eine neu entdeckte Hackergruppe missbraucht weltweit Windows-Server für SEO-Betrug. Mit zwei eigens entwickelten Tools bringen die Angreifer zwielichtige Websites in Google-Suchergebnissen nach oben – monatelang unentdeckt.
Forscher des IT-Sicherheitsunternehmens ESET haben eine neue Cyberbedrohung identifiziert: Die Hackergruppe “GhostRedirector” infiziert systematisch Windows-Server und nutzt diese für ausgeklügelte Suchmaschinenmanipulation. Die Attacken wurden zwischen Dezember 2024 und April 2025 beobachtet, eine erweiterte Suche im Juni 2025 förderte weitere Opfer zutage.
Zwei maßgeschneiderte Hacking-Tools im Einsatz
Die Angreifer setzen zwei bislang undokumentierte Eigenentwicklungen ein:
Rungan fungiert als unauffällige Backdoor für Windows-Server. Das Tool registriert sich direkt am IIS-Webserver vorbei am Betriebssystem und lauscht auf einer versteckten Webadresse. Über einfache HTTP-Befehle können die Hacker Administrator-Konten anlegen oder beliebige Kommandos ausführen – praktisch unsichtbar für gängige Logging-Mechanismen.
Gamshen ist ein schadhaftes IIS-Modul, das gezielt den Google-Bot manipuliert. Wenn Googles Webcrawler die kompromittierte Website besucht, verändert Gamshen die Serverantworten, um das Ranking fremder Websites zu verbessern. Reguläre Besucher bekommen davon nichts mit und sehen die normale Website.
Vorgehen: Von SQL-Injection bis zur dauerhaften Kontrolle
Der Angriff folgt einem bewährten Muster: Nach dem vermutlichen Erstzugriff über SQL-Injection-Schwachstellen laden die Hacker weitere Komponenten nach. Für die Rechteausweitung nutzen sie die bekannten Exploits EfsPotato und BadPotato, erstellen Administrator-Konten und sichern sich mehrfachen Fernzugriff.
“GhostRedirector kombiniert ausgefeilte Techniken mit bekannten Exploits. Das zeigt: Die Gruppe hat Ressourcen und Know-how”, erklärt ESET-Forscher Fernando Tavella, der die Kampagne aufdeckte. “Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihre Server für solchen SEO-Betrug missbraucht werden, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz.”
Globale Reichweite, diverse Branchen betroffen
Die Aktivitäten konzentrieren sich hauptsächlich auf Brasilien, Thailand, Vietnam und die USA. Viele betroffene US-Server scheinen angemietet und Unternehmen in den Hauptzielländern zugeordnet zu sein. Ein Branchenfokus ist nicht erkennbar – betroffen sind Unternehmen aus Bildung, Gesundheitswesen, Versicherung, Transport, Technologie und Handel.
ESET ordnet GhostRedirector als China-nah ein. Die Gruppe zeigt nach Einschätzung der Forscher hohe Persistenz und Widerstandsfähigkeit: Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sie sich langfristig Zugriff auf kompromittierte Infrastrukturen.
Schäden primär bei Website-Betreibern
Anders als bei vielen anderen Cyberattacken sind Endnutzer nicht direkt gefährdet. “Gamshen manipuliert ausschließlich Anfragen des Googlebots, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, zum Beispiel von Glücksspielangeboten”, so Tavella. “Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht.”
Der Schaden entsteht vielmehr bei den Betreibern kompromittierter Websites, deren Google-Rankings durch die Manipulation leiden können. ESET hat nach eigenen Angaben alle identifizierten betroffenen Unternehmen informiert.
(lb/ESET)
