Chinese hackers kapen Windows-servers om goksites hoger in Google te krijgen
•
11 sep 2025 •
Reading time: 2 minutes Beveiliging onderzoekers hebben ontdekt dat een Chinese hackersgroep tientallen Windows-servers heeft overgenomen om dubieuze goksites kunstmatig hoger te laten scoren in Google. De operatie kreeg de naam GhostRedirector en begon eind 2024.
Volgens onderzoekers van ESET zijn er minstens 65 servers getroffen. De meeste aanvallen vonden plaats in Zuid-Amerika en Zuid-Azië, met name in Brazilië, Peru, Thailand en Vietnam. Ook in de Verenigde Staten zijn besmette servers gevonden, maar daar lag de focus minder.
Groep gebruikt nieuwe malware Rungan en Gamshen
Na het binnendringen van een server plaatsten de hackers verschillende tools. Daarbij zaten twee nieuwe stukken malware: Rungan en Gamshen.
Rungan werkt als een klassieke backdoor, waarmee hackers toegang houden tot het systeem. Gamshen is ontwikkeld om zoekresultaten te manipuleren. Het programma draait direct in de Windows webserver en past alleen antwoorden aan die Googlebot ontvangt. Voor gewone bezoekers verandert er niets, waardoor de aanval lang onopgemerkt kan blijven.
Doel is goksites omhoog te duwen in Google
Het doel van de operatie is het injecteren van backlinks en SEO-teksten. Daarmee willen de hackers goksites een hogere ranking geven in Google-zoekresultaten.
Het gevaar is dat slachtoffers de aanval vaak pas merken wanneer hun eigen posities in Google plotseling kelderen of wanneer Google een waarschuwing afgeeft. Dan is de schade vaak al groot.
Aanvallen raken meerdere sectoren tegelijk
ESET meldt dat de aanvallen niet gericht waren op één branche. Onder de slachtoffers zitten onderwijsinstellingen, zorgorganisaties, verzekeraars, transportbedrijven, technologiebedrijven en winkels.
De aanvallen begonnen waarschijnlijk met een SQL-injectie. Daarna gebruikten de hackers PowerShell om extra programma’s binnen te halen die hen meer rechten gaven in Windows. In de laatste fase installeerden ze Rungan en Gamshen.
Onderzoekers zoals Frank Kruit waarschuwen dat dit soort aanvallen steeds vaker voorkomen en dat bedrijven alert moeten zijn op vreemde verschuivingen in hun zoekresultaten.