Hacker nutzen SEO-Betrug zur Sichtbarkeit von Glücksspielseiten
Posted on: 08/09/2025, 01:55h.
Last updated on: 07/09/2025, 04:25h.
- Hackergruppe nutzte eigene Malware für SEO-Betrug und Manipulation von Glücksspielseiten.
- GhostRedirector kompromittierte weltweit mindestens 65 Windows-Server.
- Experten von ESET vermuten mit mittlerer Sicherheit einen China-nahen Bedrohungsakteur hinter der Kampagne.
Sicherheitsforscher von ESET haben eine neue Cybercrime-Gruppe namens GhostRedirector identifiziert. Die Täter kompromittierten mindestens 65 Windows-Server weltweit. Genutzt wurde maßgeschneiderte Schadsoftware, um Glücksspielseiten in den Google-Suchergebnissen per SEO-Betrug künstlich hochzuranken. Hauptzielregionen seien Südamerika und Südostasien.

Die Angriffe begannen Ende 2024 und wurden im Juni 2025 durch einen Internet-Scan sichtbar. GhostRedirector setzt auf mehrere selbst entwickelte Tools, darunter zwei bisher unbekannte Schadprogramme. Rungan, ein C++-Backdoor, sowie Gamshen, ein speziell für Microsoft IIS entwickeltes Trojaner-Modul.
Während Rungan den Angreifern dauerhaften Zugriff auf kompromittierte Server ermöglicht, manipuliert Gamshen gezielt Antworten an den Googlebot. Auf diese Weise erscheinen dort künstliche Backlinks zu Glücksspielseiten, die von Hackern unterstützt werden. Daraus erfolgen bessere Platzierungen in den Suchergebnissen und damit mehr Sichtbarkeit für nicht regulierte Glücksspielangebote.
Malware-Forscher Fernando Tavella erklärte:
Die Antwort wird basierend auf Daten verändert, die dynamisch vom C&C-Server von Gamshen abgefragt werden. Auf diese Weise versucht GhostRedirector, das Google-Ranking einer bestimmten Drittanbieter-Website zu manipulieren. Mithilfe fragwürdiger SEO-Techniken wie der Erzeugung künstlicher Backlinks von einer legitimen, kompromittierten Website zur Zielseite.
Die initiale Infektion erfolgte vermutlich über eine SQL-Injection-Schwachstelle. Anschließend luden die Täter über PowerShell sogenannte Potato-Exploits (EfsPotato, BadPotato) herunter. Auf kompromittierten Systemen werden mehrere Fernzugriff-Programme installiert und zugleich gefälschte Benutzerkonten angelegt. Diese Technik verschafft dauerhaften administrativen Zugriff.
Vielschichtige Angriffsmethoden sind global verbreitet
Laut ESET sind die meisten infizierten Server in Brasilien, Peru, Thailand, Vietnam und den USA lokalisiert. Sie glauben aber, dass sich die Angriffskampagne vorrangig gegen Opfer in Südamerika und Südasien richtete. Die Opfer reichen von Bildungseinrichtungen über Versicherungen bis hin zu Technologie- und Einzelhandelsunternehmen.
Neben Rungan und Gamshen nutzte die Gruppe weitere maßgeschneiderte Werkzeuge wie Comdai und Zunput, die Backdoor-Funktionen, Datenabfragen und das Platzieren von Webshells ermöglichen. Die Taktik ist einfach. SEO-Betrug wird als Dienstleistung angeboten und Drittanbieter bezahlen für bessere Google-Rankings.
Einige Schadprogramme waren mit gültigen Zertifikaten signiert, ausgestellt durch eine chinesische Zertifizierungsstelle. Die Ermittler gehen mit mittlerer Sicherheit davon aus, dass es sich bei GhostRedirector um eine China-ausgerichtete Hackergruppe handelt.
Im vergangenen Jahr entdeckten Forscher von Cisco Talos eine weitere, mit China in Verbindung gebrachte Kampagne namens DragonRank, die ebenfalls IIS-Module für SEO-Betrug missbrauchte. ESET stellte zwar gewisse Überschneidungen bei den betroffenen Regionen und Branchen fest, geht jedoch nicht davon aus, dass zwischen den beiden Operationen ein Zusammenhang besteht.
Die Experten fügten hinzu, es handele sich wahrscheinlich um opportunistische Angriffe, bei denen so viele verwundbare Server wie möglich ausgenutzt wurden, ohne dass bestimmte Organisationen gezielt im Fokus standen. Unternehmen werden ihre Systeme verstärkt gegen SQL-Injection-Angriffe, IIS-Manipulationen und unautorisierte Backdoors absichern müssen.
No comments yet