GhostRedirector: Saat Mesin Pencari Dijadikan Senjata — Memanfaatkan Server Windows demi SEO Ilegal

Image by <a href="https://pixabay.com/users/thedigitalartist-202249/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=2321110">Pete Linforth</a> from <a href="https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=2321110">Pixabay</a>

Sebuah klaster ancaman baru bernama GhostRedirector terungkap menodai setidaknya 65 server Windows di berbagai negara—terutama Brasil, Thailand, dan Vietnam—dengan dua alat kustom: backdoor pasif Rungan (C/C++) dan modul IIS bernama Gamshen. Rungan memberi penyerang eksekusi perintah jarak jauh; Gamshen memanipulasi hasil mesin pencari untuk mendongkrak peringkat situs tertentu. Aktivitasnya terpantau sejak Agustus 2024 dan memuncak pada pertengahan 2025.

GhostRedirector tidak sekadar “deface” situs: ia mengubah reputasi situs sah menjadi lumbung backlink yang mendorong kampanye SEO fraud-as-a-service, sering kali mengarah ke promosi situs judi. Dampak jangka panjangnya adalah turunnya kepercayaan pengunjung, penalti mesin pencari, serta pijakan tetap bagi pelaku untuk operasi lanjutan. Praktik modul IIS berbahaya memang sulit dideteksi karena arsitektur dan lokasinya “serupa” modul sah, sebagaimana telah diingatkan Microsoft.

Jalur masuk: dari injeksi SQL ke PowerShell

Akses awal diduga melalui kerentanan aplikasi—kemungkinan SQL injection—yang lalu memicu eksekusi PowerShell untuk mengunduh tool dari peladen staging 868id[.]com. Banyak eksekusi PowerShell terlacak berasal dari proses sqlserver.exe melalui xp_cmdshell, memperkuat hipotesis injeksi SQL → RCE. Contoh perintah memperlihatkan unduhan komponen langsung ke C:\ProgramData\..

Dua mesin inti: Rungan & Gamshen

1) Rungan — backdoor pasif, siap menerima perintah

Mekanisme dengar-diam: Mendaftarkan URL pola http://+:80/v1.0/8888/sys.html dan menunggu request yang cocok.
Protokol C2 sederhana: Parameter HTTP menentukan aksi; tanpa enkripsi.
Set perintah utama:

mkuser — membuat akun pengguna (nama, kata sandi, grup).
listfolder — mengumpulkan info direktori (belum tuntas).
addurl — menambah pola URL yang dipantau.
cmd — mengeksekusi perintah lewat pipa dan CreateProcessA.

Lokasi & konfigurasi: Sering ditaruh di C:\ProgramData\Microsoft\DRM\log\miniscreen.dll; opsi konfigurasi ekstra melalui file vbskui.dll.

2) Gamshen — modul IIS untuk SEO manipulatif

Target khusus: Mengintersep request dari Googlebot saja, lalu mengubah respons HTTP guna menyisipkan tautan/backlink yang menguntungkan situs pihak ketiga.
Tujuan: Mengangkat peringkat pencarian target (sering dikaitkan situs perjudian).
Konteks ekosistem: Serupa konsep dengan IISerpent (2021) dan senafas dengan tren BadIIS pada kampanye DragonRank.

Bukan dua alat saja: ketahanan dan daya tempur

GhostRedirector memasang beberapa utilitas untuk persistensi dan eskalasi hak akses:

BadPotato / EfsPotato — membuat akun admin baru.
GoToHTTP — akses jarak jauh berbasis peramban.
Zunput — menginventarisasi situs di IIS dan menjatuhkan web shell (ASP, PHP, JavaScript) di direktori yang aktif mengeksekusi konten dinamis.

Lokasi favorit instalasi: C:\ProgramData\… (khususnya …\Microsoft\DRM\log\).

Siapa yang jadi korban & di mana

Selain fokus di Brasil, Thailand, dan Vietnam, korban juga muncul di Peru, AS, Kanada, Finlandia, India, Belanda, Filipina, dan Singapura, menimpa beragam sektor: pendidikan, kesehatan, asuransi, transportasi, teknologi, dan ritel. Polanya oportunistik: pelaku memburu server rentan alih-alih entitas tertentu.

Dampak pada organisasi

Reputasi & SEO: Situs sah terseret skema black-hat SEO, berisiko penalti indeks dan kehilangan kepercayaan.
Keamanan aplikasi: Backdoor pasif + web shell memberi akses berkelanjutan untuk fase berikutnya (data theft/penyusupan lateral).
Forensik lebih sulit: Modul IIS menyelusup di direktori & alur yang sama dengan modul sah, membuatnya lebih licin dari malware web biasa.

Deteksi & mitigasi (prioritas eksekusi)

Tambal aplikasi web yang menghadap internet; audit khusus endpoint rawan SQLi.
Matikan xp_cmdshell dan monitor pemanggilan PowerShell/CertUtil dari proses database/web server.
Baseline modul IIS: inventaris semua native/managed module; cari anomali nama/versi/lokasi (bandingkan dengan daftar resmi).
Pantau pola file & lokasi: C:\ProgramData\Microsoft\DRM\log\*, nama DLL mencurigakan (miniscreen.dll, ManagedEngine.dll*), serta dropped web shell (ekstensi .asp, .aspx, .php, .cer, .pjp).
Filter user & grup: telusuri akun baru/aneh (mis. MysqlServiceEx, Admin) dan perubahan grup Administrators.
Inspeksi lalu lintas keluar ke domain 868id[.]com dan subdomain/infra C2 terkait; blokir dan lakukan threat hunting historis.
Integrasi EDR/AV dengan aturan khusus** CreateProcessA** dari proses tak lazim, pendaftaran URL via HTTP Server API, dan hook handler IIS (OnBeginRequest, dsb.).
Hardening PowerShell (Constrained Language Mode, script block logging), AppLocker/WDAC untuk membatasi eksekusi biner asing.
WAF & RASP untuk menekan vektor injeksi; gunakan parameterized queries & ORM.
Pemantauan Googlebot: korelasikan anomali hanya pada request user-agent crawler (respons “berbeda” dibanding kunjungan manusia).
IR playbook: jika terindikasi, isolasi, rotasi kredensial, cabut sertifikat, dan bersihkan modul IIS lalu deploy ulang dari baseline bersih.
SEO hygiene: ajukan reconsideration (jika terpenalti), hapus injeksi tautan, dan pulihkan struktur internal link.

GhostRedirector memperlihatkan bagaimana infrastruktur web yang kredibel bisa diputarbalikkan menjadi agen manipulasi algoritme—sembari menyisakan backdoor untuk operasi yang lebih dalam. Bagi pengelola IIS, fokuskan pembenahan pada higiene aplikasi (anti-SQLi), pemantauan modul, dan kontrol eksekusi. Perang SEO kotor tak kalah berbahaya dari infeksi data—karena menyasar kepercayaan yang menjadi fondasi web modern.