AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

GhostRedirector: Nuevo Grupo Chino Compromete Servidores Windows y Manipula Tráfico Google

admin

Introducción

La comunidad de ciberseguridad se enfrenta a una nueva amenaza avanzada tras la reciente investigación de ESET Research, que ha identificado un grupo APT emergente bautizado como GhostRedirector. Este actor, de presunto origen chino, ha logrado comprometer en junio de 2025 al menos 65 servidores Windows en varios países, empleando técnicas de manipulación del tráfico de Google y sofisticadas herramientas de persistencia y redirección. El descubrimiento pone de manifiesto la continua evolución del panorama de amenazas y subraya la necesidad de una vigilancia constante por parte de analistas SOC, CISOs y profesionales técnicos del sector.

Contexto del Incidente

GhostRedirector ha centrado su actividad principalmente en Brasil, Tailandia, Vietnam y Estados Unidos, aunque también se han detectado víctimas en Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. Según ESET, el grupo ha mostrado un alto grado de capacidad técnica, focalizándose en la manipulación de servidores Windows expuestos y aprovechando la infraestructura de Google para encubrir sus operaciones y aumentar la resiliencia de sus campañas.

El modus operandi de GhostRedirector destaca por el uso de técnicas novedosas para el redireccionamiento del tráfico, facilitando tanto la exfiltración de datos como la distribución de payloads maliciosos sin levantar sospechas inmediatas. El grupo implementa además mecanismos de persistencia para mantener el acceso a largo plazo, lo que sugiere objetivos de espionaje o monetización prolongada.

Detalles Técnicos: Vectores de Ataque y TTP

GhostRedirector ha sido vinculado a la explotación de vulnerabilidades en servidores Windows, con especial incidencia en sistemas que ejecutan versiones sin parchear de Windows Server 2016 y 2019. ESET ha identificado la utilización de exploits personalizados y, en algunos casos, módulos de frameworks como Cobalt Strike para post-explotación y movimiento lateral.

No se ha confirmado la explotación de vulnerabilidades específicas bajo CVE, aunque las técnicas observadas se alinean con las descritas en MITRE ATT&CK bajo los siguientes identificadores:

– Initial Access: Exploit Public-Facing Application (T1190)
– Persistence: Modify System Process (T1543), Registry Run Keys/Startup Folder (T1547)
– Defense Evasion: Impair Defenses (T1562)
– Command and Control: Application Layer Protocol (T1071), Web Service (T1102)
– Exfiltration: Exfiltration Over C2 Channel (T1041)

Una de las características más llamativas es la manipulación del tráfico de Google, mediante proxies maliciosos y redirecciones HTTP/HTTPS, logrando así ocultar la actividad maliciosa entre el tráfico legítimo. Los investigadores han detectado dominios y direcciones IP asociadas a la infraestructura de GhostRedirector, que deben ser consideradas como IoC críticos para la monitorización de amenazas.

Impacto y Riesgos

El impacto de las acciones de GhostRedirector es significativo, especialmente para organizaciones con servidores Windows expuestos a Internet y políticas laxas de parcheado. La manipulación del tráfico de Google puede facilitar campañas de phishing, distribución de malware y exfiltración de credenciales o datos sensibles. Según estimaciones preliminares, el 40% de los sistemas comprometidos presentaban configuraciones inseguras o software desactualizado, exponiendo a las empresas a pérdidas económicas, sanciones regulatorias bajo GDPR y NIS2, y daños reputacionales severos.

Además, la capacidad del grupo para mantener el acceso persistente incrementa el riesgo de ataques secundarios, como ransomware o ataques dirigidos a la cadena de suministro.

Medidas de Mitigación y Recomendaciones

ESET y otros expertos recomiendan una serie de acciones clave para mitigar los riesgos asociados a GhostRedirector:

– Aplicar parches de seguridad de forma inmediata en servidores Windows (especialmente Server 2016/2019).
– Monitorizar los logs de tráfico en busca de patrones anómalos, especialmente conexiones salientes hacia dominios e IPs identificados como IoC de GhostRedirector.
– Implementar segmentación de red y acceso privilegiado mínimo, limitando la exposición de servidores críticos.
– Desplegar soluciones EDR/XDR con capacidades de detección de TTPs asociados a Cobalt Strike y herramientas similares.
– Revisar y reforzar las configuraciones de seguridad en servidores IIS y servicios expuestos a Internet.
– Realizar auditorías periódicas de seguridad y simulaciones de ataque (red teaming).

Opinión de Expertos

Analistas del sector señalan que la aparición de GhostRedirector representa una evolución en el ecosistema de amenazas procedentes de grupos chinos, tradicionalmente asociados a campañas de ciberespionaje. “La manipulación del tráfico de Google introduce un nivel de sofisticación que dificulta la detección tradicional basada en firmas”, apunta Laura Sánchez, consultora de ciberseguridad. Por su parte, Pedro Gómez, responsable de un SOC internacional, subraya que “la persistencia y el uso de infraestructuras legítimas como Google para el C2 plantea importantes desafíos para la respuesta a incidentes”.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la importancia de una política de seguridad proactiva y una visibilidad integral sobre sus activos expuestos. La necesidad de cumplir con normativas como GDPR y NIS2 hace imprescindible la pronta detección y notificación de incidentes, así como la protección reforzada de datos personales y sistemas críticos.

Los usuarios finales, aunque menos afectados directamente, pueden verse impactados en caso de campañas de phishing o ataques secundarios derivados del acceso persistente mantenido por GhostRedirector en infraestructuras empresariales.

Conclusiones

El descubrimiento de GhostRedirector confirma la tendencia hacia actores más sofisticados y persistentes, capaces de explotar vulnerabilidades y manipular infraestructuras legítimas para evadir la detección. La respuesta efectiva requiere una combinación de inteligencia de amenazas actualizada, medidas técnicas robustas y una cultura organizativa orientada a la seguridad. La vigilancia debe extenderse más allá de las amenazas conocidas, anticipando la evolución constante de los actores APT.

(Fuente: www.cybersecuritynews.es)