ESET, GhostRedirector adını verdiği yeni bir tehdit aktörünü ortaya çıkardı. Siber güvenlik araştırmacıları, Haziran 2025’te yapılan taramalarda en az 65 Windows sunucusunun ele geçirildiğini tespit etti. Bu saldırıların, Çin bağlantılı olduğu düşünülen GhostRedirector grubuna ait olduğu belirtiliyor.
Kurbanların büyük çoğunluğu Brezilya, Tayland, Vietnam ve ABD’de yer alırken; sağlık, sigorta, eğitim, teknoloji, ulaşım ve perakende gibi birçok sektörü hedef aldıkları bildirildi. Kanada, Hollanda, Hindistan ve Singapur gibi farklı bölgelerde de izlerine rastlandı.
GhostRedirector’un iki özel araç kullandığı ortaya çıkarıldı: Rungan adı verilen pasif C++ arka kapısı ve Gamshen adlı zararlı IIS modülü. Rungan, ele geçirilen sunucuda komut çalıştırabilme yeteneğine sahipken, Gamshen Google arama sonuçlarını manipüle ederek sahte SEO çalışmalarıyla yasa dışı kumar sitelerinin görünürlüğünü artırmayı amaçlıyor.
ESET araştırmacısı Fernando Tavella, “Gamshen, yalnızca Googlebot isteklerini manipüle ediyor, kullanıcıları doğrudan etkilemese de ele geçirilen web sitelerinin itibarını zedeliyor” açıklamasını yaptı.
Ayrıca saldırganların, sahte kullanıcı hesapları oluşturarak kalıcılık sağlamaya çalıştığı, Rungan ve Gamshen’in yanı sıra EfsPotato ve BadPotato gibi bilinen istismarları da kullandığı belirtildi. ESET’in bulgularına göre saldırıların ilk adımı genellikle bir SQL enjeksiyonu üzerinden gerçekleşiyor.
GhostRedirector’un özellikle Latin Amerika ve Güneydoğu Asya bölgelerinde daha aktif olduğu düşünülüyor. ESET, saldırılardan etkilenen kurum ve şirketleri bilgilendirdi.
Kaynak: Bihaber.TR
