Siber Güvenlik Dünyasında Yeni Tehdit: GhostRedirector Google Aramalarını Manipüle Ediyor
Siber güvenlik firması ESET, Windows sunucularını hedef alan ve Google arama sonuçlarını manipüle eden Çin bağlantılı GhostRedirector tehdit grubunu keşfetti. Saldırıların detayları ve korunma yolları.
Yerel Gündem 
Siber Güvenlik Dünyasında Yeni Tehdit: GhostRedirector Google Aramalarını Manipüle Ediyor
ACİLHOST.NET / İstanbul, Türkiye
Siber güvenlik alanında dünya lideri ESET'in araştırmacıları, internetin derinliklerinde yeni ve gizemli bir tehdit grubu keşfetti: GhostRedirector. Bu Çin bağlantılı tehdit aktörü, özellikle Windows sunucularını hedef alarak küresel bir siber saldırı zinciri başlattı. Haziran 2025'te yapılan kapsamlı bir internet taraması sonucunda en az 65 Windows sunucusunun ele geçirildiği belirlendi. Bu saldırılar, sadece şirket verilerini tehlikeye atmakla kalmıyor, aynı zamanda Google arama sonuçlarını da manipüle ederek dijital dünyada yeni bir dolandırıcılık türüne zemin hazırlıyor. Saldırının arkasındaki amaç, web sitelerinin sıralamasını yapay olarak yükselterek çeşitli kumar sitelerinin tanıtımını yapmaktır. Bu durum, hem kurumsal itibara hem de arama motorlarının güvenilirliğine ciddi zararlar veriyor.
Gizli Silahlar: Rungan ve Gamshen
GhostRedirector, saldırılarını gerçekleştirmek için daha önce bilinmeyen iki özel araç kullanıyor. Bunlardan ilki, ele geçirilen sunucularda komutları yürütebilen pasif bir C++ arka kapısı olan “Rungan” olarak adlandırılıyor. İkinci ve en dikkat çekici araç ise, kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü olan “Gamshen”. Bu modül, yalnızca Google'ın arama motoru botlarından gelen isteklerde yanıtı değiştirerek siber güvenlik dünyasına farklı bir boyut kazandırıyor. ESET araştırmacısı Fernando Tavella’nın da belirttiği gibi, Gamshen kötü amaçlı içerik sunmuyor veya web sitelerinin normal ziyaretçilerini etkilemiyor. Ancak, SEO dolandırıcılığına katılarak ele geçirilen ana web sitesinin itibarını zedeleyebilir ve onu şüpheli tekniklerle ilişkilendirerek kalıcı hasarlar bırakabilir.
Saldırı Nasıl Gerçekleşiyor ve Kimler Tehdit Altında?
Siber saldırganların kurbanlarına ilk erişimi, muhtemelen bir SQL Enjeksiyonu gibi bilinen bir güvenlik açığından faydalanarak gerçekleştirdiği düşünülüyor. Saldırganlar bir Windows sunucusunu ele geçirdikten sonra, çeşitli kötü amaçlı yazılımları ve araçları indirip çalıştırıyor. Bu araçlar arasında ayrıcalık yükseltme yazılımları, birden fazla webshell bırakan kötü amaçlı yazılımlar ve daha önce bahsedilen Rungan arka kapısı bulunuyor. GhostRedirector, ele geçirilen altyapıya uzun vadeli erişimi sürdürme hedefiyle sahte kullanıcı hesapları oluşturuyor ve bu sunuculara birden fazla uzaktan erişim aracı yerleştirerek operasyonel dayanıklılık sergiliyor. ESET’in elde ettiği telemetri verilerine göre, bu saldırılar Aralık 2024 ile Nisan 2025 arasında gerçekleşti.
Kurbanlar farklı coğrafi bölgelerde bulunsa da, GhostRedirector'ın Latin Amerika ve Güneydoğu Asya'daki hedeflere daha fazla ilgi gösterdiği tespit edildi. Ele geçirilen sunucular çoğunlukla Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri'nde yer alıyor. Ancak, ABD'deki sunucuların büyük bir kısmının, diğer saldırıların gerçekleştiği Brezilya, Tayland ve Vietnam'daki şirketlere kiralandığı gözlemleniyor. Saldırganların belirli bir sektöre odaklanmadığı, eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende dâhil olmak üzere birçok farklı alandan kurumu hedef aldığı ortaya çıktı. Bu, saldırının geniş bir alana yayılmış olduğunu ve herhangi bir sektördeki kuruluşun potansiyel bir kurban olabileceğini gösteriyor. ESET, bu siber tehdidin ciddiyetine dikkat çekerek, tüm mağdurları bu konuda bilgilendirdi.
SEO Manipülasyonunun Arkasındaki Gizli Eller
GhostRedirector’ın en belirgin özelliği, Gamshen adlı aracıyla Googlebot'u manipüle etmesidir. Bu durum, arama motorlarının organik arama sonuçları sıralamasını yanıltıcı bir şekilde etkileyerek, meşru olmayan web sitelerinin öne çıkmasını sağlıyor. Bahsedilen kumar siteleri, bu yöntemle yapay olarak yüksek sıralamalara ulaşıyor ve daha fazla kullanıcıya erişiyor. Bu, yalnızca siber güvenliğin bir sorunu olmanın ötesinde, dijital reklamcılık ve arama motoru pazarlaması dünyasında da yeni bir etik ve güvenlik ihlali yaratıyor.
Sonuç olarak, GhostRedirector gibi tehdit aktörlerinin ortaya çıkması, kurumsal ve bireysel siber güvenliğin ne kadar önemli olduğunu bir kez daha gözler önüne seriyor. Bu tür saldırılara karşı korunmak için güncel yazılım kullanmak, düzenli güvenlik taramaları yapmak ve şüpheli e-postalara karşı dikkatli olmak hayati önem taşıyor.
