Los actores de amenazas con presuntos vínculos con China han convertido una aparejo legítima de monitoreo de código libre emplazamiento Nezha en un arsenal de ataque, usándola para entregar un malware conocido llamado Gh0st RAT a los objetivos.
La actividad, observada por la empresa de ciberseguridad Huntress en agosto de 2025, se caracteriza por el uso de una técnica inusual emplazamiento envenenamiento de registros (igualmente conocido como inyección de registros) para colocar un shell web en un servidor web.
«Esto permitió al actor de amenazas controlar el servidor web usando ANTSWORD, antiguamente de implementar Nezha, una aparejo de operación y monitoreo que permite ejecutar comandos en un servidor web», dijeron los investigadores Jai Minton, James Northey y Alden Schmidt en un referencia compartido con The Hacker News.
En total, se dice que la intrusión probablemente comprometió a más de 100 máquinas víctimas, y la mayoría de las infecciones se reportaron en Taiwán, Japón, Corea del Sur y Hong Kong.
La cautiverio de ataque reunida por Huntress muestra que los atacantes, descritos como un «adversario técnicamente competente», aprovecharon un panel phpMyAdmin endeble y expuesto públicamente para obtener golpe original y luego configurar el idioma en chino simplificado.
Luego se descubrió que los actores de la amenaza acceden a la interfaz de consulta SQL del servidor y ejecutan varios comandos SQL en rápida sucesión para colocar un shell web PHP en un directorio accesible a través de Internet luego de comprobar de que las consultas se registren en el disco habilitando el registro de consultas generales.
«Luego emitieron una consulta que contenía su shell web PHP de una sola confín, lo que provocó que se registrara en el archivo de registro», explicó Huntress. «Lo más importante es que configuran el nombre del archivo de registro con una extensión .php, lo que permite ejecutarlo directamente enviando solicitudes POST al servidor».
El golpe proporcionado por el shell web ANTSWORD se utiliza luego para ejecutar el comando «whoami» para determinar los privilegios del servidor web y entregar el agente Nezha de código libre, que se puede utilizar para controlar remotamente un host infectado conectándose a un servidor forastero («c.mid(.)al»).
Un aspecto interesante del ataque es que el actor de amenazas detrás de la operación ha estado ejecutando su panel de Nezha en ruso, con más de 100 víctimas enumeradas en todo el mundo. Una concentración pequeño de víctimas se encuentra dispersa en Singapur, Malasia, India, Reino Unido, Estados Unidos, Colombia, Laos, Tailandia, Australia, Indonesia, Francia, Canadá, Argentina, Sri Lanka, Filipinas, Irlanda, Kenia y Macao, entre otros.
El agente Nezha habilita la futuro etapa de la cautiverio de ataque, facilitando la ejecución de un script interactivo de PowerShell para crear exclusiones de Microsoft Defender Antivirus y difundir Gh0st RAT, un malware ampliamente utilizado por grupos de hackers chinos. El malware se ejecuta mediante un cargador que, a su vez, ejecuta un dropper responsable de configurar e iniciar la carga útil principal.
«Esta actividad destaca cómo los atacantes abusan cada vez más de herramientas nuevas y emergentes disponibles públicamente a medida que están disponibles para conseguir sus objetivos», dijeron los investigadores.
«Adecuado a esto, es un claro recordatorio de que, si proporcionadamente las herramientas disponibles públicamente pueden estar de moda con fines legítimos, los actores de amenazas igualmente suelen aprovecharse de ellas oportuno al bajo costo de la investigación, la capacidad de proporcionar una ineptitud plausible en comparación con el malware personalizado y la probabilidad de no ser detectados por los productos de seguridad».
