Una campaña reciente ha reutilizado la herramienta legítima Nezha para comprometer servidores web a través de vulnerabilidades en aplicaciones expuestas. El ataque desplegó una cadena avanzada que integra web shells, AntSword y Ghost RAT para obtener persistencia y control remoto.
La seguridad de las aplicaciones web vuelve a estar en el foco tras descubrirse una campaña de ataques que integra Nezha, una herramienta open-source para monitorización, con fines maliciosos. Expertos de Huntress detectaron la campaña iniciada en agosto de 2025, aprovechando debilidades en paneles phpMyAdmin expuestos a Internet. Este incidente marca la primera vez que se reporta públicamente el uso de Nezha en la cadena de ataque para compromisos de servidores web.
Los atacantes lograron acceso inicial explotando paneles phpMyAdmin expuestos. Aprovechando credenciales débiles y configuración por defecto, cambiaron el idioma del panel y utilizaron comandos SQL para activar el general query log de MariaDB, redirigiéndolo a un archivo .php y ocultando así una web shell. Posteriormente, administraron el sistema infectado con AntSword, descargando e instalando el agente de Nezha (“live.exe”), que permitió el control remoto. Usando PowerShell, deshabilitaron Windows Defender y desplegaron Ghost RAT bajo el nombre SQLlite, facilitando persistencia y exfiltración de datos.
Más de 100 sistemas comprometidos, con especial afectación en Asia Oriental y casos en Europa y América, reflejan el alcance y sofisticación de la campaña. El uso de herramientas legítimas como Nezha, combinadas con malware como Ghost RAT, complica la detección y eleva el riesgo de persistencia y control total sobre los servidores afectados.
Los investigadores recomiendan: parchear todas las aplicaciones expuestas, exigir autenticación incluso en entornos de pruebas, emplear monitoreo proactivo para detectar web shells y procesos sospechosos, y limitar el acceso administrativo. Es fundamental auditar logs e implementar segmentación de red para minimizar el impacto de posibles compromisos.
La campaña demuestra cómo atacantes avanzados aprovechan herramientas open-source y técnicas de evasión para comprometer servidores web. Mantener infraestructuras actualizadas y supervisar proactivamente cualquier actividad anómala son esenciales para prevenir intrusiones similares.
