Le groupe GhostradereDirector a saisi au moins 65 serveurs Windows entre décembre 2024 et juin 2025. Les attaques sont intensifiées en particulier au Brésil, en Thaïlande, au Vietnam et aux États-Unis; Le Canada, la Finlande, l’Inde, les Pays-Bas, les Philippines et Singapour ont également été ciblés.
Rungan et Gamshen: véhicules dangereux
Deux nouveaux logiciels malveillants développés par le groupe se démarquent:
Rungan: Une porte arrière écrite avec C ++; Il permet au serveur d’exécuter une commande.
Gamshen: Un module qui manipule les serveurs IIS de Microsoft; Il ne fait qu’augmenter le classement des sites malveillants en modifiant les réponses envoyées sur Google Bot.
Selon les chercheurs, même si les utilisateurs ne rencontrent pas les résultats manipulés, la réputation des sites attaqués a sérieusement souffert.
Méthodes d’attaque
GhostreDerector fournit le premier accès en utilisant des déficits tels que l’injection SQL. Puis il charge ses véhicules puissants en augmentant ses pouvoirs par PowerShell. Il profite également de déficits de sécurité connus tels que Efspotato et Badpotato.
Cibles
Les institutions de différents secteurs telles que l’éducation, la santé, l’assurance, le transport, la technologie et la vente au détail ont été affectées par l’attaque. La distribution géographique des attaques se concentre spécialement sur l’Amérique latine et l’Asie du Sud-Est.
Pourquoi important?
De telles attaques conduisent à de faux sites en haut des résultats de recherche Google. S’il n’est pas intervenu, les manipulations de classement de recherche peuvent atteindre une dimension plus commune et plus dangereuse.
