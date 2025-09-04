Jena (ots) -Wer bei Google sucht, will seriöse Ergebnisse. Doch eine neue Hackergruppe macht sich die Suchmaschine zunutze, um manipulierte Websites nach oben zu bringen. Forscher des europäischen IT-Sicherheitsherstellers ESET haben die Kampagne aufgedeckt und die Angreifer "GhostRedirector" getauft. Die Gruppe infiziert Windows-Server weltweit, missbraucht sie für SEO-Betrug und bleibt dabei monatelang unentdeckt.Die Masche der Gruppe: Infiltration von Windows-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv. Die Hacker setzen zwei bislang undokumentierte Eigenentwicklungen ein: "Rungan" und "Gamshen". Mit diesen Werkzeugen manipulieren sie Suchergebnisse, um zwielichtige Websites im Google-Ranking nach oben zu bringen. ESET ordnet GhostRedirector als China-nah ein."GhostRedirector kombiniert ausgefeilte Techniken mit bekannten Exploits. Das zeigt: Die Gruppe hat Ressourcen und Know-how", sagt ESET Forscher Fernando Tavella, der die Masche entdeckt hat. "Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihre Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite - und damit letztendlich ihr Umsatz."Als Trittbrettfahrer zu einem besseren Google-RankingDie Angriffe folgen einem klaren Ablauf. Der Erstzugriff erfolgt wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handelt es sich um eine beliebte Hacking-Technik, die Sicherheitslücken in SQL-Datenbanken ausnutzt. Danach laden die Täter weitere Komponenten nach. Für die Rechteausweitung nutzen die bekannten Exploits EfsPotato und BadPotato, legen Administratorkonten an und sichern sich zusätzlichen Fernzugriff. So bleibt der Zugang erhalten, selbst falls einzelne Werkzeuge entfernt werden. Für den Angriff nutzen die Hacker zudem diese beiden selbstentwickelten Werkzeuge:- Rungan ist eine unauffällige Hintertür für Windows-Server. Sie lauscht auf eine feste, versteckte Webadresse und nimmt darüber einfache HTTP-Befehle entgegen, die sie direkt auf dem System ausführt - vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos. Die Schnittstelle registriert sich am Betriebssystem vorbei am IIS-Webserver, sodass sie in gängigen Logs leicht übersehen wird. Die Steuerung läuft im Klartext.- Gamshen ist ein schadhaftes Internet Information Services (IIS)-Modul, also eine Erweiterung für Server. Es manipuliert gezielt die Google-Suche, indem es bei einer Abfrage des Googlebot die Antwort des Servers manipuliert, um das Ranking anderer Websites zu verbessern. Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.Der Googlebot ist Googles automatisches Programm, das Websites besucht und deren Inhalte für die Suchmaschine indexiert. So hält Google seine Trefferlisten aktuell."Gamshen manipuliert ausschließlich Anfragen des Googlebot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z. B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht. Mit dieser Hacking-Technik schaden die Cyberkriminellen in erster Linie Webseitenbetreibern", so Tavella weiter.Zielregion: weltweit, Branche: egalESET beobachtete Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie. Eine internetweite Suche im Juni 2025 deckte weitere Opfer auf. Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein. Ein Fokus auf einzelne Branchen ist nicht erkennbar; betroffen sind unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET hat identifizierte Betreiber informiert."GhostRedirector ist eine äußerst ausdauernde Hackergruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur", schließt Tavella ab.Weitere Informationen gibt es in ESETs aktuellem Blogpost (https://www.welivesecurity.com/de/eset-research/neue-hacker-gruppe-ghostredirector-vergiftet-windows-server) auf WeLiveSecurity.com.Pressekontakt:ESET Deutschland GmbHChristian LuegHead of Communication & PR DACH+49 (0)3641 3114-269christian.lueg@eset.deMichael KlattePR Manager DACH+49 (0)3641 3114-257Michael.klatte@eset.dePhilipp PlumPR Manager DACH+49 (0)3641 3114-141Philipp.plum@eset.deFolgen Sie ESET:https://www.ESET.deESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, DeutschlandOriginal-Content von: ESET Deutschland GmbH, übermittelt durch news aktuellOriginalmeldung: https://www.presseportal.de/pm/71571/6110829