Le 9 septembre 2025, les autorités nationales et les services informatiques de sécurité en Amérique du Sud et en Asie ont été alertés d’un nouveau stratagème criminel sophistiqué qui a compromis des serveurs Windows pour promouvoir des sites de jeux d’argent illégaux. Cette opération, qui a ciblé des publics au Brésil, au Vietnam, en Thaïlande et dans certaines parties des États-Unis, a été découverte par l’agence de sécurité en ligne ESET Research, spécialisée dans les vulnérabilités des logiciels.
Le stratagème, baptisé « GhostRedirector » par ESET Research, met en lumière l’utilisation par les criminels d’un ensemble de tactiques de référencement obscur, de logiciels malveillants et de l’installation de logiciels fantômes pour manipuler les algorithmes de recherche des utilisateurs et les rediriger à leur insu vers des plateformes de paris et de casinos illégales. L’enquête d’ESET, publiée via son portail WeLiveSecurity, décrit l’opération comme un modèle de « fraude SEO en tant que service », dans lequel les cybercriminels exploitent des serveurs Windows compromis pour injecter du contenu caché dans des sites web, rediriger le trafic et améliorer le classement des domaines de jeux d’argent dans les moteurs de recherche, à l’insu des utilisateurs.
Les victimes appartiennent à divers secteurs—assurance, santé, commerce de détail, transport, technologie et éducation. L’équipe d’ESET explique que GhostRedirector visait à impacter le plus lourdement possible les utilisateurs en Amérique du Sud et en Asie du Sud.
Au cœur de cette attaque se trouve un module malveillant surnommé Gamshen, qui manipule les mécanismes d’indexation de Google pour accroître artificiellement la visibilité de sites prédéfinis, presque tous liés à des activités de jeux d’argent et de casinos en ligne non autorisées. Le système exploite la complexité croissante de l’expérience de recherche de Google, en particulier son mouvement vers des résumés générés par l’IA et des réponses en langage naturel. Le rapport suggère que cette transition crée des vulnérabilités, car les résultats générés par l’IA peuvent être plus facilement exploités par des tactiques SEO malveillantes intégrées.
Lorsque les utilisateurs recherchent des sujets populaires, ils peuvent être redirigés de manière invisible vers des sites de jeux d’argent illégaux, avertit le rapport. Ils pourraient même ne pas réaliser ce qui a déclenché la redirection. Cette menace est double : elle sape l’intégrité des moteurs de recherche et expose les utilisateurs à des risques de sécurité, des escroqueries et des atteintes à la vie privée, tout en offrant aux opérateurs non autorisés un avantage significatif de visibilité sur les marques réglementées.
Les chercheurs d’ESET ont noté la sophistication technique de l’opération. En plus de la redirection, GhostRedirector utilise un réseau de serveurs compromis pour héberger et propager l’attaque, la rendant résiliente et difficile à démanteler. L’équipe a souligné que des vulnérabilités connues de Windows ont été exploitées pour installer plusieurs portes dérobées, donnant aux attaquants un contrôle à distance sur les systèmes infectés. L’infrastructure semble être à long terme et bien financée, les experts suggérant que la campagne est en cours depuis des mois, voire des années.
Ce n’est pas juste une exploitation ponctuelle, a déclaré un chercheur. Cela reflète une entreprise criminelle structurée avec des niveaux élevés de persistance et d’adaptabilité. ESET a appelé les administrateurs informatiques à renforcer la cybersécurité sur les serveurs Windows, à appliquer des mises à jour régulières, à surveiller le trafic et à enregistrer les anomalies, et à déployer des systèmes avancés de détection de portes dérobées. Les utilisateurs finaux, en particulier ceux actifs sur les plateformes de paris, sont encouragés à rester vigilants face aux redirections inattendues et à utiliser des bloqueurs de scripts ou des outils de sécurité de navigateur.
Nous entrons dans une ère où la manipulation des recherches peut être automatisée à grande échelle, a conclu ESET. Sans défenses appropriées, les utilisateurs et les régulateurs risquent d’être dépassés par l’innovation criminelle. L’émergence de GhostRedirector soulève de nouvelles alarmes pour les régulateurs dans les marchés émergents, notamment au Brésil, où les opérateurs illégaux ont longtemps posé un défi à l’intégrité du marché et à la protection des joueurs.
Alors que le Brésil avance avec son cadre réglementé de paris, les parties prenantes ont exhorté à une coopération accrue entre les plateformes technologiques, les agences nationales de cybersécurité et les régulateurs de jeux pour protéger l’écosystème en ligne. Pour les opérateurs licenciés, le stratagème représente une nouvelle frontière dans la promotion du marché noir—une qui contourne les réseaux d’affiliation traditionnels et utilise du code malveillant et des infrastructures détournées.
Bernard Leroy est un rédacteur expérimenté dans le domaine des jeux d’argent en ligne et des casinos virtuels. Il a débuté sa carrière il y a + de 10 ans en écrivant des articles sur les stratégies de poker et de blackjack e ligne pour différents sites web spécialisés.
Rejoignez maintenant