GhostRedirector vs. Google

Wer bei Google sucht, will seriöse Ergebnisse. Doch eine neue Hackergruppe macht sich die Suchmaschine zunutze, um manipulierte Websites nach oben zu bringen. Forscher des europäischen IT-Sicherheitsherstellers ESET haben die Kampagne aufgedeckt und die Angreifer „GhostRedirector“ getauft. Die Gruppe infiziert Windows-Server weltweit, missbraucht sie für SEO-Betrug und bleibt dabei monatelang unentdeckt.

Die Masche der Gruppe: Infiltration von Windows-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv. Die Hacker setzen zwei bislang undokumentierte Eigenentwicklungen ein: „Rungan“ und „Gamshen“. Mit diesen Werkzeugen manipulieren sie Suchergebnisse, um zwielichtige Websites im Google-Ranking nach oben zu bringen. ESET ordnet GhostRedirector als China-nah ein.

„GhostRedirector kombiniert ausgefeilte Techniken mit bekannten Exploits. Das zeigt: Die Gruppe hat Ressourcen und Know-how“, sagt ESET Forscher Fernando Tavella, der die Masche entdeckt hat. „Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihre Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz.“

Als Trittbrettfahrer zu einem besseren Google-Ranking

Die Angriffe folgen einem klaren Ablauf. Der Erstzugriff erfolgt wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handelt es sich um eine beliebte Hacking-Technik, die Sicherheitslücken in SQL-Datenbanken ausnutzt. Danach laden die Täter weitere Komponenten nach. Für die Rechteausweitung nutzen die bekannten Exploits EfsPotato und BadPotato, legen Administratorkonten an und sichern sich zusätzlichen Fernzugriff. So bleibt der Zugang erhalten, selbst falls einzelne Werkzeuge entfernt werden. Für den Angriff nutzen die Hacker zudem diese beiden selbstentwickelten Werkzeuge:

• Rungan ist eine unauffällige Hintertür für Windows-Server. Sie lauscht auf eine feste, versteckte Webadresse und nimmt darüber einfache HTTP-Befehle entgegen, die sie direkt auf dem System ausführt – vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos. Die Schnittstelle registriert sich am Betriebssystem vorbei am IIS-Webserver, sodass sie in gängigen Logs leicht übersehen wird. Die Steuerung läuft im Klartext.
• Gamshen ist ein schadhaftes Internet Information Services (IIS)-Modul, also eine Erweiterung für Server. Es manipuliert gezielt die Google-Suche, indem es bei einer Abfrage des Googlebot die Antwort des Servers manipuliert, um das Ranking anderer Websites zu verbessern. Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.

Der Googlebot ist Googles automatisches Programm, das Websites besucht und deren Inhalte für die Suchmaschine indexiert. So hält Google seine Trefferlisten aktuell.

„Gamshen manipuliert ausschließlich Anfragen des Googlebot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z. B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht. Mit dieser Hacking-Technik schaden die Cyberkriminellen in erster Linie Webseitenbetreibern“, so Tavella weiter.

Zielregion: weltweit, Branche: egal

ESET beobachtete Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie. Eine internetweite Suche im Juni 2025 deckte weitere Opfer auf. Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein. Ein Fokus auf einzelne Branchen ist nicht erkennbar; betroffen sind unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET hat identifizierte Betreiber informiert.

„GhostRedirector ist eine äußerst ausdauernde Hackergruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur“, schließt Tavella ab.

In today’s digital age, consumers expect reliable and credible results when conducting online searches. However, a new group of hackers is leveraging the search engine to direct users to manipulated websites. Researchers from the European IT security manufacturer ESET have identified the campaign and have dubbed the attackers „GhostRedirector.“ This group has been infecting Windows servers worldwide, misusing them for SEO fraud, and remaining undetected for months.

The group’s strategy: There have been reports of infiltration of Windows servers and fraudulent activity on search engines. The company is primarily active in Brazil, Thailand, Vietnam, and the USA. The hackers employed two previously undocumented in-house developments: „Rungan“ and „Gamshen.“ These tools are used to manipulate search results, thereby positioning questionable websites at the top of Google rankings. ESET has classified GhostRedirector as being associated with China.

„GhostRedirector combines sophisticated techniques with known exploits.“ This indicates that the group possesses both resources and expertise,“ says ESET researcher Fernando Tavella, who discovered the scheme. „The affected companies often don’t notice anything at first. However, when their servers are misused for SEO fraud, it can negatively impact their own reach and, consequently, their revenue.

As free rider can benefit from a better Google ranking

The attacks follow a clear sequence. It is probable that the initial access was gained through a vulnerability, presumably via SQL injection. This is a prevalent hacking technique that exploits vulnerabilities in SQL databases. Subsequently, the perpetrators proceed to download additional components. Please find below the relevant details for your records.

For privilege escalation, they use the well-known exploits EfsPotato and BadPotato, create administrator accounts, and secure additional remote access. This approach ensures continuity in access even in the event of the removal of individual tools. In addition to these tools, the hackers employed two self-developed tools for the attack.

Rungan is a discreet backdoor for Windows servers. It listens on a fixed, hidden web address and receives simple HTTP commands, executing them directly on the system. These commands can range from creating new administrator accounts to executing arbitrary commands. The interface registers itself with the operating system, bypassing the IIS web server, so it is easily overlooked in common logs. The control operates in plain text.

Gamshen is a malicious Internet Information Services (IIS) module. It is an extension for servers. It specifically manipulates Google Search by altering the server’s response during a Googlebot query to improve the ranking of other websites. Consequently, these websites appear higher in the search results, which negatively impacts the affected pages.

The Googlebot is Google’s automated program that visits websites and indexes their content for the search engine. This is how Google maintains the currency of its search results.

„Gamshen exclusively manipulates Googlebot requests to positively influence search results, favoring pages offering gambling services.“ Regular visitors will see the normal website, so there is no direct danger to them. This hacking technique primarily targets website operators,“ Tavella continued.

Target region worldwide

ESET observed activities from December 2024 to April 2025 in the telemetry. A nationwide search in June 2025 revealed additional victims. It appears that a significant number of US servers are being rented and used by companies in the primary affected countries. There is no discernible focus on specific industries; affected are, among others, education, health, insurance, transport, technology, and trade. ESET has informed the identified operators.

„GhostRedirector is an extremely persistent hacker group and demonstrates high resilience.“ The group gains long-term access to the compromised infrastructure through the use of various remote access tools and fake user accounts,“ Tavella concludes.