Los actores de amenaza con presuntos lazos con China han convertido una herramienta legítima de monitoreo de código abierto llamada Nezha en un arma de ataque, usándolo para entregar un malware conocido llamado GH0ª RATA a objetivos.
La actividad, observada por la compañía de ciberseguridad Huntress en agosto de 2025, se caracteriza por el uso de una técnica inusual llamada envenenamiento log (también conocido como inyección de logarítmica) para plantar A shell web en un servidor web.
«Esto permitió al actor de amenaza controlar el servidor web utilizando Hormigónantes de implementar finalmente a Nezha, una herramienta de operación y monitoreo que permite que los comandos se ejecuten en un servidor web «, los investigadores Jai Minton, James Northey y Alden Schmidt dicho En un informe compartido con The Hacker News.
En total, se dice que la intrusión probablemente ha comprometido a más de 100 máquinas víctimas, con la mayoría de las infecciones reportadas en Taiwán, Japón, Corea del Sur y Hong Kong.
La cadena de ataque reconstruida por Huntress muestra que los atacantes, descritos como un «adversario técnicamente competente», aprovecharon un panel Phpmyadmin expuesto y vulnerable para obtener el acceso inicial, y luego estableció el lenguaje en chino simplificado.
Posteriormente, se ha encontrado que los actores de amenaza acceden a la interfaz de consulta SQL del servidor y ejecutan varios comandos SQL en rápida sucesión para eliminar un shell web de PHP en un directorio accesible a través de Internet después de garantizar que las consultas se registren al disco al habilitar el registro general de la consulta.
«Luego emitieron una consulta que contiene su shell web PHP de una línea, lo que hace que se registre en el archivo de registro», explicó Huntress. «Crucialmente, establecen el nombre del archivo de registro con una extensión .php, lo que permite que se ejecute directamente enviando solicitudes de publicación al servidor».
El acceso que ofrece el shell web de Antsword se utiliza para ejecutar el comando «whoami» para determinar los privilegios del servidor web y entregar el agente Nezha de código abierto, que puede usarse para comandar de forma remota un host infectado conectando a un servidor externo («C. mid[.]Alabama»).
Un aspecto interesante del ataque es que el actor de amenaza detrás de la operación ha estado ejecutando su tablero de Nezha en ruso, con más de 100 víctimas en todo el mundo. Una concentración más pequeña de víctimas está dispersa por Singapur, Malasia, India, el Reino Unido, Estados Unidos, Colombia, Laos, Tailandia, Australia, Indonesia, Francia, Canadá, Argentina, Sri Lanka, Filipinas, Irlanda, Kenia y Macao, entre otros.
El agente de Nezha permite la siguiente etapa de la cadena de ataque, facilitando la ejecución de un script de PowerShell interactivo para crear exclusiones y lanzamiento de Microsoft Defender Antivirus GH0ª RATAa malware ampliamente utilizado por grupos de piratería chinos. El malware se ejecuta mediante un cargador que, a su vez, ejecuta un gotero responsable de configurar y comenzar la carga útil principal.
«Esta actividad destaca cómo los atacantes abusan cada vez más de herramientas nuevas y emergentes disponibles en público a medida que queda disponible para lograr sus objetivos», dijeron los investigadores.
«Debido a esto, es un marcado recordatorio de que, si bien las herramientas disponibles públicamente pueden usarse para fines legítimos, los actores de amenazas también abusan comúnmente debido al bajo costo de investigación, la capacidad de proporcionar una negación plausible en comparación con el malware a medida y la probabilidad de no ser detectados por productos de seguridad».
Fuente