Los actores de amenazas con presuntos vínculos con China han convertido una útil legítima de monitoreo de código amplio emplazamiento Nezha en un arsenal de ataque, usándola para entregar un malware conocido llamado Gh0st RAT a los objetivos.
La actividad, observada por la empresa de ciberseguridad Huntress en agosto de 2025, se caracteriza por el uso de una técnica inusual emplazamiento envenenamiento de registros (igualmente conocido como inyección de registros) para colocar un shell web en un servidor web.
“Esto permitió al actor de amenazas controlar el servidor web usando ANTSWORD, antaño de implementar Nezha, una útil de operación y monitoreo que permite ejecutar comandos en un servidor web”, dijeron los investigadores Jai Minton, James Northey y Alden Schmidt en un noticia compartido con The Hacker News.
En total, se dice que la intrusión probablemente comprometió a más de 100 máquinas víctimas, y la mayoría de las infecciones se reportaron en Taiwán, Japón, Corea del Sur y Hong Kong.
La sujeción de ataque reunida por Huntress muestra que los atacantes, descritos como un “adversario técnicamente competente”, aprovecharon un panel phpMyAdmin relajado y expuesto públicamente para obtener camino original y luego configurar el idioma en chino simplificado.
Seguidamente se descubrió que los actores de la amenaza acceden a la interfaz de consulta SQL del servidor y ejecutan varios comandos SQL en rápida sucesión para colocar un shell web PHP en un directorio accesible a través de Internet posteriormente de cerciorarse de que las consultas se registren en el disco habilitando el registro de consultas generales.
“Luego emitieron una consulta que contenía su shell web PHP de una sola término, lo que provocó que se registrara en el archivo de registro”, explicó Huntress. “Lo más importante es que configuran el nombre del archivo de registro con una extensión .php, lo que permite ejecutarlo directamente enviando solicitudes POST al servidor”.
El camino proporcionado por el shell web ANTSWORD se utiliza luego para ejecutar el comando “whoami” para determinar los privilegios del servidor web y entregar el agente Nezha de código amplio, que se puede utilizar para controlar remotamente un host infectado conectándose a un servidor foráneo (“c.mid(.)al”).
Un aspecto interesante del ataque es que el actor de amenazas detrás de la operación ha estado ejecutando su panel de Nezha en ruso, con más de 100 víctimas enumeradas en todo el mundo. Una concentración beocio de víctimas se encuentra dispersa en Singapur, Malasia, India, Reino Unido, Estados Unidos, Colombia, Laos, Tailandia, Australia, Indonesia, Francia, Canadá, Argentina, Sri Lanka, Filipinas, Irlanda, Kenia y Macao, entre otros.
El agente Nezha habilita la posterior etapa de la sujeción de ataque, facilitando la ejecución de un script interactivo de PowerShell para crear exclusiones de Microsoft Defender Antivirus y editar Gh0st RAT, un malware ampliamente utilizado por grupos de hackers chinos. El malware se ejecuta mediante un cargador que, a su vez, ejecuta un dropper responsable de configurar e iniciar la carga útil principal.
“Esta actividad destaca cómo los atacantes abusan cada vez más de herramientas nuevas y emergentes disponibles públicamente a medida que están disponibles para conquistar sus objetivos”, dijeron los investigadores.
“Adecuado a esto, es un claro recordatorio de que, si acertadamente las herramientas disponibles públicamente pueden estilarse con fines legítimos, los actores de amenazas igualmente suelen excederse de ellas conveniente al bajo costo de la investigación, la capacidad de proporcionar una traición plausible en comparación con el malware personalizado y la probabilidad de no ser detectados por los productos de seguridad”.
