Grupo chinês manipula resultados do Google para promover bets ilegais no Brasil, diz empresa

Quem já pesquisou por plataformas de apostas no Google muito possivelmente deve ter encontrado uma enorme quantidade de sites ilegais, sem o domínio “.bet.br”, que aparecem nos resultados de busca usando o servidor de outras páginas. 

De acordo com a ESET, empresa especializada em detecção proativa de ameaças, um novo grupo de cibercriminosos alinhado à China, batizado de GhostRedirector, está por trás desse tipo de situação.

O ataque do grupo comprometeu ao menos 65 servidores Windows em países como Brasil, Peru, Tailândia, Vietnã e Estados Unidos, explorando vulnerabilidades para manipular resultados do Google e promover sites de apostas por meio de um esquema de fraude de SEO, diz a empresa.

O GhostRedirector emprega duas ferramentas desenvolvidas especialmente para os ataques. A primeira é uma backdoor em C++, chamada Rungan, que permite executar comandos no servidor comprometido.

Imagem de um site de apostas que possivelmente foi utilizado pelo GhostRedirector em seu esquema de fraude de SEO (imagem: reprodução/ESET)

A segunda é um módulo malicioso para o Internet Information Services (IIS), chamado Gamshen, que insere conteúdos de fraude de SEO para manipular artificialmente o ranqueamento de páginas em buscas feitas pelo Google.

Segundo a ESET, o Gamshen faz com que a página comprometida apareça melhor posicionada nos resultados de busca, funcionando como uma espécie de "ponte invisível" que favorece plataformas de apostas sem que o proprietário perceba.

Na prática, o módulo malicioso insere conteúdos de fraude de SEO, técnicas que manipulam algoritmos de ranqueamento, mas apenas quando o domínio é acessado pelo Googlebot, o robô usado pelo Google para indexar conteúdos. Visitantes comuns não percebem nenhuma alteração, o que torna o ataque difícil de detectar.

Dessa forma, servidores invadidos se tornam ferramentas silenciosas para promover sites de apostas, enquanto a reputação do endereço original corre risco de ser associada a práticas suspeitas de SEO.

"Embora o Gamshen só modifique a resposta quando a solicitação provém de Googlebot, a participação no esquema de fraude de SEO pode danificar a reputação do site comprometido ao associá-lo com técnicas de SEO suspeitas, assim como com os sites impulsionados. Se o Google detectar manipulação de SEO, o site pode ser penalizado", explica o pesquisador da ESET Fernando Tavella, responsável pela descoberta, em comunicado à imprensa.

Os alvos identificados estão distribuídos por diferentes setores, incluindo educação, saúde, seguros, transporte, tecnologia e varejo. A maioria dos servidores comprometidos nos Estados Unidos estava alugada por empresas sediadas no Brasil, Tailândia e Vietnã, o que indica foco em vítimas da América Latina e do Sudeste Asiático.

O ator malicioso comprometeu servidores Windows, principalmente no Brasil, Tailândia, Vietnã e Estados Unidos. Outras vítimas foram encontradas no Peru, Canadá, Finlândia, Índia, Países Baixos, Filipinas e Singapura

A investigação mostrou que os criminosos conseguiram entrar nos servidores aproveitando falhas de segurança, como brechas em bancos de dados. Depois de invadirem, eles baixavam e rodavam programas que davam mais controle sobre o sistema, incluindo:

• Ferramentas para aumentar seus privilégios e poder fazer quase tudo no computador.

• Malwares que instalavam "portas secretas" (webshells ou backdoors), permitindo que eles voltassem a acessar o sistema a qualquer momento.

• Um tipo de vírus chamado trojan IIS, específico para servidores web.

Essas "portas secretas" permitiam que os invasores:

• Se comunicassem com o computador pela rede;

• Rodassem arquivos;

• Viam o que estava nos diretórios;

• Mudassem serviços e configurações importantes do Windows.

"O GhostRedirector também demonstra persistência e resiliência operacional ao implementar múltiplas ferramentas de acesso remoto no servidor comprometido, além de criar contas de usuário fraudulentas, tudo isso para manter o acesso a longo prazo na infraestrutura comprometida", afirma Tavella.

Os ataques do GhostRedirector foram registrados entre dezembro de 2024 e abril de 2025. Uma varredura feita em junho do mesmo ano revelou novas vítimas. A ESET informou que todas as empresas afetadas foram notificadas.

O relatório técnico completo, com detalhes da operação e recomendações de mitigação, está disponível aqui.