Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO.

• Victimologie et chronologie 🔎

  • Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025.
  • Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation).
  • Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour.
  • Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »).

• Chaîne d’intrusion et persistance

  • Accès initial: probablement SQL injection; exécution via xp_cmdshell (processus sqlserver.exe).
  • Téléchargement/outillage: PowerShell/CertUtil depuis un serveur de staging 868id[.]com; déploiement de GoToHTTP (outil légitime), dépôt des binaires sous C:\ProgramData\Microsoft\DRM\log.
  • Élévation de privilèges: outils personnalisés basés sur EfsPotato et BadPotato (obfusqués avec .NET Reactor, parfois signés avec TrustAsia) pour créer des comptes admin (ex. MysqlServiceEx, MysqlServiceEx2, Admin) ou RID hijacking (changement mdp de Guest).
  • Webshells: dépôt multi-langages (ASP, PHP, JS) via l’outil Zunput/SitePuts.exe qui inventorie les sites IIS et implante des webshells sur les répertoires actifs.

• Charges finales et buts

  • Rungan (backdoor C++): s’enregistre via HTTP Server API (bypass IIS) sur http://+:80/v1.0/8888/sys.html, écoute des requêtes spécifiques et exécute des commandes (ex. création d’utilisateur, exécution de commandes). Chiffrement interne AES-CBC pour chaînes; config optionnelle via C:\Windows\Microsoft.NET\Framework64\v2.0.50727\1033\vbskui.dll. C2 en clair via HTTP, commandes indexées par action.
  • Gamshen (module IIS natif): intercepte le pipeline IIS et modifie uniquement les réponses destinées à Googlebot (filtrage par User-Agent/Referer, méthode, extensions, regex d’URL). Récupère du contenu injecté en Base64 depuis brproxy.868id[.]com (fallback redirection vers gobr.868id[.]com si 404), afin de gonfler artificiellement le ranking (backlinks/keyword stuffing) de sites tiers (notamment jeux d’argent en portugais). Les visiteurs humains ne voient pas de contenu malveillant.

• IoCs principaux 🧭

  • Domaines/C2/staging:
    • xzs.868id[.]com, xz.868id[.]com, q.822th[.]com, www.881vn[.]com
    • brproxy.868id[.]com (C2 Gamshen), gobr.868id[.]com (redir), www.cs01[.]shop (C2 Comdai)
  • IPs d’hébergement:
    • 104.233.192[.]1, 104.233.210[.]229, 43.228.126[.]4, 103.251.112[.]11
  • Binaires/chemins notables:
    • Rungan: miniscreen.dll (SHA‑1: 28140A5A29EBA098BC6215DDAC8E56EACBB29B69), URL locale: http://+:80/v1.0/8888/sys.html
    • Gamshen: ManagedEngine64_v2.dll (SHA‑1: 871A4DF66A8BAC3E640B2D1C0AFC075BB3761954), ManagedEngine32_v2.dll (SHA‑1: 9938B8C28468BE494CB608AB5CC8618FA593D2DF)
    • Comdai: (SHA‑1: 049C343A9DAAF3A93756562ED73375082192F5A8)
    • Zunput/SitePuts: SitePut.exe (SHA‑1: EE22BA5453ED577F8664CA390EB311D067E47786)
    • Dossier courant: C:\ProgramData\Microsoft\DRM\log ; config Rungan: ...\vbskui.dll
  • Comptes ajoutés: MysqlServiceEx, MysqlServiceEx2, Admin
  • Certificat de signature: TrustAsia RSA Code Signing CA G3 (Shenzhen Diyuan Technology Co., Ltd), empreinte BE2AC4A5156DBD9FFA7A9F053F8FA4AF5885BE3C

• TTPs (MITRE ATT&CK) 📚

  • Initial Access: T1190 Exploit Public-Facing Application (probable SQLi via xp_cmdshell)
  • Execution: T1059.001 PowerShell, T1059.003 CMD, T1106 Native API
  • Privilege Escalation: T1134 Access Token Manipulation, exploits EfsPotato/BadPotato, T1112 Modify Registry (RID hijacking)
  • Persistence/Defense Evasion: T1546 Event-Triggered Execution (module IIS), T1027 Obfuscated Files/Info (.NET Reactor), T1140 Decode/Decrypt, comptes admin de secours, webshells
  • Discovery: T1083 File and Directory Discovery
  • Command and Control: T1071.001 Web Protocols, canal local HTTP enregistré par Rungan
  • Resource Development: T1588.003 Code Signing Certificates, T1588.002 Tool, T1587.001 Malware, T1608.001/002 Staging, T1608.006 SEO Poisoning

Conclusion: Il s’agit d’une analyse de menace détaillant un acteur inédit (GhostRedirector) et son arsenal (Rungan, Gamshen, outils d’élévation, dépôt de webshells) visant la compromission durable de serveurs Windows et la mise en place d’une fraude SEO à grande échelle.

🧠 TTPs et IOCs détectés

TTP

[‘T1190 Exploit Public-Facing Application’, ‘T1059.001 PowerShell’, ‘T1059.003 CMD’, ‘T1106 Native API’, ‘T1134 Access Token Manipulation’, ‘T1112 Modify Registry’, ‘T1546 Event-Triggered Execution’, ‘T1027 Obfuscated Files/Info’, ‘T1140 Decode/Decrypt Files’, ‘T1083 File and Directory Discovery’, ‘T1071.001 Web Protocols’, ‘T1588.003 Code Signing Certificates’, ‘T1588.002 Tool’, ‘T1587.001 Malware’, ‘T1608.001/002 Staging’, ‘T1608.006 SEO Poisoning’]

IOC

{‘domains’: [‘xzs.868id[.]com’, ‘xz.868id[.]com’, ‘q.822th[.]com’, ‘www.881vn[.]com’, ‘brproxy.868id[.]com’, ‘gobr.868id[.]com’, ‘www.cs01[.]shop’], ‘ips’: [‘104.233.192[.]1’, ‘104.233.210[.]229’, ‘43.228.126[.]4’, ‘103.251.112[.]11’], ‘hashes’: [‘28140A5A29EBA098BC6215DDAC8E56EACBB29B69’, ‘871A4DF66A8BAC3E640B2D1C0AFC075BB3761954’, ‘9938B8C28468BE494CB608AB5CC8618FA593D2DF’, ‘049C343A9DAAF3A93756562ED73375082192F5A8’, ‘EE22BA5453ED577F8664CA390EB311D067E47786’]}

🔗 Source originale : https://www.welivesecurity.com/en/eset-research/ghostredirector-poisons-windows-servers-backdoors-side-potatoes/