Atores de ameaça supostamente ligados à China transformaram a ferramenta legítima de monitoramento open-source Nezha em um instrumento de ataque, utilizando-a para distribuir um malware conhecido como Gh0st RAT.
Essa atividade, identificada pela empresa de cibersegurança Huntress em agosto de 2025, se destacou pelo uso de uma técnica incomum chamada log poisoning (ou log injection), que permite o plantio de um web shell em um servidor web.
“Isso possibilitou ao invasor controlar o servidor via ANTSWORD antes de, finalmente, implantar o Nezha, uma ferramenta de operação e monitoramento que permite a execução de comandos na máquina”, explicaram os pesquisadores Jai Minton, James Northey e Alden Schmidt em relatório compartilhado com o The Hacker News.
Ao todo, a intrusão provavelmente comprometeu mais de 100 máquinas, a maioria localizada em Taiwan, Japão, Coreia do Sul e Hong Kong.
O ataque, detalhado pela Huntress, mostra que os invasores — descritos como adversários “tecnicamente competentes” — exploraram uma instância vulnerável e exposta publicamente do painel phpMyAdmin para obter acesso inicial.
Em seguida, configuraram o idioma para chinês simplificado.
Os atacantes acessaram a interface de consultas SQL do servidor e executaram comandos em rápida sucessão para inserir um web shell PHP em um diretório acessível pela internet.
Para isso, ativaram o log geral de consultas, garantindo que as queries fossem registradas no disco.
“Eles então enviaram uma query contendo o web shell PHP de uma linha, que foi gravada no arquivo de log”, detalharam os pesquisadores.
“O ponto crucial é que renomearam o arquivo de log para a extensão .php, permitindo que ele fosse executado diretamente por requisições POST ao servidor.”
Com o acesso proporcionado pelo web shell ANTSWORD, os atacantes rodaram o comando “whoami” para identificar os privilégios do servidor e implantaram o agente open-source Nezha.
Essa ferramenta permite o controle remoto do host infectado por meio da conexão com um servidor externo (“c.mid[.]al”).
Um aspecto curioso é que o painel de controle Nezha utilizado pelos invasores está configurado em russo, listando mais de 100 vítimas ao redor do mundo.
Além dos principais alvos na Ásia, houve registros esparsos em Singapura, Malásia, Índia, Reino Unido, Estados Unidos, Colômbia, Laos, Tailândia, Austrália, Indonésia, França, Canadá, Argentina, Sri Lanka, Filipinas, Irlanda, Quênia e Macau, entre outros.
O agente Nezha dá sequência ao ataque, possibilitando a execução de um script PowerShell interativo.
Esse script cria exceções no Microsoft Defender Antivirus e lança o Gh0st RAT, malware amplamente utilizado por grupos hackers chineses.
A execução ocorre por meio de um loader que, por sua vez, dispara um dropper responsável por configurar e ativar o payload principal.
“Essa campanha demonstra como os atacantes cada vez mais abusam de ferramentas públicas emergentes para atingir seus objetivos”, destacam os pesquisadores.
“Isso reforça a importância de entender que ferramentas open-source, apesar de legítimas, são frequentemente exploradas por agentes maliciosos devido ao baixo custo de pesquisa, à possibilidade de negação plausível em comparação a malwares personalizados e à maior probabilidade de não serem detectadas por soluções de segurança.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...