Los actores de amenazas con presuntos vínculos con China convirtieron una herramienta legítima de monitoreo de código abierto llamada Nezha en un arma de ataque y la utilizaron para atacar y distribuir malware conocido llamado Gh0st Rat.
La actividad observada por la firma de ciberseguridad Huntress en agosto de 2025 se caracteriza por el uso de una técnica inusual llamada envenenamiento de registros (también conocida como inyección de registros) para colocar un shell web en los servidores web.
«Esto permitió a los actores de amenazas usar Antwoord para tomar el control de los servidores web, antes de finalmente implementar Nezha, una herramienta de manipulación y monitoreo que les permite ejecutar comandos en servidores web».
En general, la intrusión probablemente comprometió a más de 100 máquinas víctimas, y la mayoría de las infecciones se registraron en Taiwán, Japón, Corea del Sur y Hong Kong.
La cadena de ataque que Huntress ha armado muestra que el atacante, descrito como un «adversario técnicamente capacitado», aprovechó un panel phpMyAdmin expuesto y vulnerable para obtener acceso inicial y luego configurar el idioma en chino simplificado.
Luego se encontró que el actor de la amenaza accedía a la interfaz de consulta SQL del servidor y ejecutaba varios comandos SQL en rápida sucesión.
«Luego emite una consulta que incluye un shell web PHP de una sola línea y la registra en un archivo de registro», explicó Huntress. «Es importante destacar que configuraron el nombre del archivo de registro con una extensión .php para que pueda ejecutarse directamente enviando una solicitud POST al servidor».
El acceso proporcionado por el shell web de Antsword se utiliza para ejecutar el comando «Whoami», que determina los privilegios del servidor web y entrega un agente Nezha de código abierto que se puede utilizar para hosts infectados remotos conectándose a servidores externos («c.mid(.)al»).
Un aspecto interesante del ataque es que el actor de amenazas detrás de la operación ejecuta un panel de Nether en ruso, que enumera más de 100 víctimas en todo el mundo. Un pequeño número de víctimas se encuentran dispersas en Singapur, Malasia, India, Reino Unido, Estados Unidos, Colombia, Laos, Tailandia, Australia, Indonesia, Francia, Canadá, Argentina, Sri Lanka, Filipinas, Irlanda, Kenia y Macao.
El agente Nezha habilita la siguiente etapa en la cadena de ataque, facilitando la ejecución de scripts interactivos de PowerShell, creando exclusiones de Microsoft Defender Antivirus y lanzando GH0st Rat, un malware ampliamente utilizado por grupos de hackers chinos. El malware es ejecutado por un cargador que ejecuta un dropper que es responsable de configurar e iniciar la carga útil principal.
«Esta actividad destaca cómo los atacantes están abusando de las nuevas herramientas públicas emergentes a medida que están disponibles para lograr sus objetivos», dijeron los investigadores.
“Esto sirve como recordatorio de que las herramientas disponibles públicamente pueden usarse con fines legítimos, pero Threat Actel comúnmente abusa de ellas debido a sus bajos costos de investigación, su capacidad para proporcionar una negación plausible en comparación con el malware personalizado y su potencial de detección mediante productos de seguridad.
Source link
