Un grupo de piratería recientemente identificado ha comprometido al menos 65 servidores de Windows en todo el mundo, principalmente en Brasil, Tailandia y Vietnam. Según los investigadores de ESET, el grupo, llamado Ghostredirector, desplegó dos herramientas previamente desconocidas: una puerta trasera C ++ llamada Rungan y un módulo de Servicios de Información de Internet malicioso (IIS) conocido como Gamshen. Rungan permite a los atacantes ejecutar comandos en servidores comprometidos. Mientras tanto, Gamshen manipula los resultados de los motores de búsqueda para inflar artificialmente las clasificaciones de ciertos sitios web, particularmente las plataformas de juego. Esta táctica, descrita como fraude como servicio de SEO, aprovecha los servidores comprometidos para mejorar las clasificaciones de páginas sin afectar a los visitantes regulares. «Gamshen […] no sirve contenido malicioso ni afecta a los visitantes regulares de los sitios web: la participación en el esquema de fraude de SEO puede dañar la reputación del sitio web de host comprometido al asociarla con técnicas sombreadas de SEO y los sitios web impulsados ​​», explicó ESET. Además, los investigadores observaron que los ghostredirector también permitieron las explotaciones conocidas como los badpotato y los EFSpotato a ganar administradores de los programadores. Nuevas cuentas, asegurando que los atacantes puedan mantener el acceso incluso si se eliminó otro malware. Aunque se observaron grupos más pequeños en Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. DragonRank, previamente vinculado al fraude de SEO. Persistencia, pero también usa plataformas legítimas para canalizar el tráfico hacia los sitios web sospechosos. Las configuraciones del servidor y las cuentas de usuario también pueden ayudar a detectar persistencia maliciosa antes de causar daños a largo plazo.