Cybercriminalité et jeux d’argent : l’ascension de GhostRedirector
En septembre 2025, la société de cybersécurité ESET Research a dévoilé une nouvelle menace liée au groupe de hackers GhostRedirector, basé en Chine. Ce groupe utilise un logiciel malveillant sophistiqué pour améliorer l’indexation de sites de paris offshore non réglementés, changeant ainsi la donne dans la lutte contre les jeux d’argent illégaux. Ces manœuvres ont des conséquences potentiellement mondiales, avertit le rapport d’ESET.
Entre décembre 2024 et juin 2025, GhostRedirector a ciblé au moins 65 serveurs Windows, principalement au Brésil, en Thaïlande et au Vietnam. Cependant, des cas isolés ont aussi été découverts aux États-Unis, au Canada, en Inde, aux Pays-Bas, en Finlande et à Singapour. Fait notable, les attaques ne se sont pas concentrées sur un secteur en particulier, mais ont touché des domaines variés tels que l’éducation, la santé, le transport, la technologie et le commerce de détail. Cela suggère que le but principal de GhostRedirector n’est pas l’espionnage mais plutôt l’acquisition massive de trafic web.
L’approche de GhostRedirector repose sur un stratagème aussi simple qu’efficace. Après avoir accédé aux systèmes, souvent via des vulnérabilités d’injection SQL, les attaquants déploient deux programmes sur mesure : Rungan, une porte dérobée permettant d’exécuter des commandes sur les machines compromises, et Gamshen, un module IIS malveillant qui altère les moteurs de recherche. Contrairement aux attaques par ransomware ou phishing, Gamshen n’a pas pour objectif de tromper les utilisateurs réguliers. Il modifie uniquement le contenu montré au robot d’indexation de Google, permettant ainsi d’optimiser artificiellement le classement de certains sites de jeux d’argent dans les résultats de recherche.
Cette méthode de manipulation des résultats de recherche est d’autant plus pernicieuse qu’elle est discrète et difficile à détecter. Les utilisateurs réguliers ne remarquent généralement pas le code injecté. Cependant, le fait que le domaine d’une entreprise devienne un vecteur pour le jeu illégal compromet sa crédibilité et risque de le faire figurer sur une liste noire. Selon un chercheur d’ESET, la sophistication du logiciel réside dans sa capacité à éviter d’alerter les visiteurs habituels des sites concernés, compliquant ainsi considérablement sa détection.
GhostRedirector ne se contente pas d’utiliser Gamshen. L’arsenal du groupe comprend également des outils comme EfsPotato et BadPotato, qui permettent aux attaquants d’augmenter leurs privilèges, et des comptes d’administrateur frauduleux assurant un contrôle à long terme. Le groupe montre une persistance impressionnante en s’incrustant à travers de multiples points d’accès, rendant l’éradication complète des pirates difficile, même après la suppression d’un seul élément.
Cette nouvelle menace rappelle une cyberattaque similaire découverte en mars, où un détournement de JavaScript s’est propagé à travers des milliers de sites légitimes dans le monde entier. L’attaque redirigeait les visiteurs vers des portails de jeux chinois, parfois déguisés sous des marques d’opérateurs bien connus comme bet365. Le lien entre ces deux épisodes est évident : les opérateurs ne pouvant obtenir de licence sur les marchés réglementés ont recours à des tactiques de piratage pour gagner en visibilité.
Pourtant, certains experts soulèvent des questions quant à la durabilité de ces tactiques. Les moteurs de recherche, et en particulier Google, investissent massivement dans l’amélioration de leurs algorithmes pour détecter et neutraliser ce genre de manipulation. Dans cette perspective, le recours à des méthodes illégales et éthiquement discutables pourrait se retourner contre les opérateurs de jeux, nuisant à leur réputation et exposant leurs utilisateurs à des plateformes non sécurisées.
Cependant, le marché des jeux d’argent en ligne continue de croître à un rythme soutenu, alimenté par la demande croissante de paris sportifs et de jeux de casino. Les régulateurs, quant à eux, peinent à suivre le rythme des innovations technologiques rapides et des tactiques émergentes employées par les acteurs illégaux. En conséquence, les initiatives pour renforcer la sécurité en ligne et protéger les consommateurs deviennent une priorité urgente pour les gouvernements et les entreprises de cybersécurité.
L’affaire GhostRedirector souligne la nécessité d’une vigilance accrue et d’une collaboration internationale pour lutter contre la cybercriminalité et les jeux d’argent illégaux. Tandis que les hackers sophistiquent leurs méthodes, il devient impératif pour les entreprises et les autorités de se doter d’outils et de stratégies de défense adaptés pour protéger l’intégrité du cyberespace mondial.
Jérôme Kalapaglos est un journaliste spécialisé dans l’univers du jeu et des casinos, passionné par l’actualité du gambling en ligne et les stratégies de jeu accessibles à tous. Fort de plus de 10 ans d’expérience dans l’industrie, il a lancé CasinoSansDepots.com pour offrir aux joueurs francophones une plateforme fiable dédiée aux bons plans gratuits, aux revues de casinos et aux codes exclusifs sans dépôt.
