IT之家 9 月 7 日消息，网络安全公司 ESET 的安全研究人员于 9 月 4 日宣布发现了一个代号为 GhostRedirector 的新型黑客组织。

据称，该组织自 2024 年 12 月起已入侵至少 65 台位于巴西、泰国和越南的 Windows 服务器；该组织不仅长期维持后门访问，还利用受害服务器操纵谷歌搜索排名。

IT之家从 ESET 获悉，其攻击始于 Windows 服务器的 SQL 注入漏洞，黑客通过下载恶意工具包展开渗透。入侵后，他们会部署被称为“Rungan”的被动式 C++ 后门，该程序通过监听特定 URL 模式下的 HTTP 请求实现远程命令执行，避免创建外部连接，从而规避安全警报。

然后，黑客会在服务器中植入了专门针对谷歌爬虫（Googlebot）的恶意 IIS 模块，被称为“Gamshen”。

当谷歌爬虫爬到被攻陷的服务器网站时，Gamshen 会动态篡改页面内容，将指令服务器的数据注入网页，从而人为提升赌博网站的搜索排名。

同时，普通用户访问的时候则显示正常页面，其手法对普通用户来说几乎不可察觉。ESET 研究人员指出：“这相当于一种 SEO 欺诈即服务”。

研究人员还强调，该组织使用看似合法的域名和有效的代码签名证书来规避检测。攻击者使用伪装域名和有效代码签名证书规避检测。

GhostRedirector 展现出较高的行动隐蔽性和持久性。其维持访问的手段包括提权漏洞（BadPotato、EfsPotato）、webshell 以及伪造管理员账号等多层机制，确保即使主要后门被清除仍能持续控制系统。

该组织针对的领域覆盖医疗、教育、零售、交通等多个行业，显示出更倾向于机会性攻击，而非特定行业定向打击。

面对这一情况，专家建议及时更新服务器软件、监控 SQL Server 进程中异常的 PowerShell 执行、强化 SQL 注入防御，以及定期审计 IIS 模块和管理员账户。