Çinli siber saldırganların Google Arama sonuçlarını manipüle ettiği ortaya çıktı

GhostRedirector isimli grup, 2024 Aralık ile 2025 Haziran arasında en az 65 Windows sunucusunu ele geçirdi. Saldırılar özellikle Brezilya, Tayland, Vietnam ve ABD’de yoğunlaşırken; Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur da hedef alındı.

Grubun geliştirdiği iki yeni kötü amaçlı yazılım öne çıkıyor:

Rungan: C++ ile yazılmış bir arka kapı; sunucuda komut çalıştırmaya imkân tanıyor.

Gamshen: Microsoft’un IIS sunucularını manipüle eden bir modül; yalnızca Google botuna gönderilen cevapları değiştirerek kötü niyetli sitelerin arama sıralamasını yükseltiyor.
Araştırmacılara göre, bu yöntemle kullanıcılar farkında olmadan manipüle edilmiş sonuçlarla karşılaşmasa bile, saldırıya uğrayan sitelerin itibarı ciddi zarar görüyor.

GhostRedirector, SQL enjeksiyonu gibi açıklardan faydalanarak ilk erişimi sağlıyor. Ardından PowerShell üzerinden yetkilerini artırarak daha güçlü araçlarını yüklüyor. EfsPotato ve BadPotato gibi bilinen güvenlik açıklarından da yararlanıyor.

Eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende gibi farklı sektörlerdeki kurumlar saldırıdan etkilendi. Saldırıların coğrafi dağılımı özellikle Latin Amerika ve Güneydoğu Asya’ya yoğunlaşıyor.

Bu tür saldırılar, sahte sitelerin Google arama sonuçlarında üst sıralara çıkmasına yol açıyor. Müdahale edilmezse, arama sıralaması manipülasyonları daha yaygın ve tehlikeli bir boyuta ulaşabilir.