Até junho de 2025, o grupo já tinha atacado pelo menos 65 servidores, com uma incidência particular em países como Brasil, Tailândia, Vietname e Estados Unidos, embora a sua atividade seja global.

As vítimas pertencem a setores muito variados, incluindo educação, saúde, transportes, tecnologia e retalho, o que sugere que os atacantes não têm um alvo específico, mas procuram explorar qualquer sistema vulnerável.

A principal tática do GhostRedirector consiste no "envenenamento de SEO" (Search Engine Optimization).

Os atacantes comprometem servidores Windows e utilizam-nos para manipular os resultados de pesquisa do Google.

Quando um utilizador procura por determinados termos, é-lhe apresentado um link que parece legítimo, mas que, na verdade, o redireciona para um site malicioso controlado pelo grupo.

A partir daí, as vítimas podem ser levadas a descarregar malware ou a fornecer informações sensíveis.

Esta técnica é particularmente perigosa porque explora a confiança que os utilizadores depositam nos motores de busca, tornando mais difícil a deteção da ameaça.

A descoberta do GhostRedirector pela ESET revela um ator de ameaças sofisticado e com um alcance global, destacando uma nova frente na luta contra o cibercrime.