Oltre a Rungan e Gamshen, il gruppo sfrutta exploit noti come EfsPotato e BadPotato, con cui crea account amministrativi occulti sui server compromessi. Questi accessi alternativi consentono di installare ulteriori componenti malevoli o di mantenere il controllo anche nel caso in cui una backdoor venga rimossa. Secondo la telemetria di ESET, l’accesso iniziale avviene probabilmente tramite vulnerabilità SQL Injection. Una volta dentro, gli attaccanti scaricano e installano tool per l’escalation dei privilegi, webshell e backdoor in grado di gestire comunicazioni di rete, avviare file, manipolare servizi e chiavi del registro di Windows. Come spiega Fernando Tavella, ricercatore ESET:
GhostRedirector dimostra persistenza e resilienza operativa distribuendo più strumenti di accesso remoto sui server compromessi e creando account utente fasulli, nel tentativo di mantenere l’accesso a lungo termine alle infrastrutture violate.
The Software Engineers Paid to Fix Vibe Coded Messes