Por Mid 
Nezha: De herramienta open-source a nueva arma en ataques a servidores web
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- Nezha ha sido utilizada en una campaña de ataques a servidores web, marcando la primera vez que se reporta su uso en este contexto.
- Los atacantes explotan vulnerabilidades en phpMyAdmin con credenciales débiles para obtener acceso inicial a los sistemas.
- El uso de herramientas legítimas junto a malware aumenta la complejidad en la detección de ataques y permite el control persistente por parte de los atacantes.
- Más de 100 sistemas han sido comprometidos, afectando principalmente a Asia Oriental y con reportes en Europa y América.
- Se recomienda la implementación de medidas de seguridad proactivas, como el parcheo de aplicaciones y monitoreo constante.
Índice
- 1. Campaña de ataques
- 2. Vulnerabilidades explotadas
- 3. Gestión del sistema comprometido
- 4. Impacto global de la campaña
- 5. Recomendaciones de seguridad
1. Campaña de ataques
Una reciente campaña ha puesto en el punto de mira la herramienta legítima Nezha, al ser utilizada para comprometer servidores web a través de vulnerabilidades en aplicaciones expuestas. Este ataque empleó una cadena sofisticada que incluye web shells, AntSword y Ghost RAT, lo que permitió a los atacantes mantener persistencia y control remoto sobre los sistemas afectados.
2. Vulnerabilidades explotadas
La seguridad en aplicaciones web ha cobrado relevancia nuevamente tras el descubrimiento de esta campaña que utiliza Nezha, una herramienta open-source diseñada para la monitorización, con intenciones maliciosas. Investigadores de Huntress identificaron que esta campaña comenzó en agosto de 2025, aprovechando fallas en paneles phpMyAdmin que estaban accesibles a través de Internet. Este evento marca la primera vez que el uso de Nezha en una cadena de ataque para comprometer servidores web se reporta públicamente.
Los atacantes obtuvieron acceso inicial explotando paneles phpMyAdmin expuestos, utilizando credenciales débiles y configuraciones predeterminadas. Una vez dentro, cambiaron el idioma del panel y ejecutaron comandos SQL que activaron el general query log de MariaDB. Este log fue redirigido a un archivo .php, donde lograron ocultar una web shell.
3. Gestión del sistema comprometido
A continuación, los atacantes gestionaron el sistema comprometido mediante AntSword, descargando e instalando el agente de Nezha, denominado “live.exe”, que proporcionó control remoto. Utilizando PowerShell, desactivaron Windows Defender y desplegaron Ghost RAT bajo el alias SQLlite, lo que facilitó la persistencia y la exfiltración de datos.
4. Impacto global de la campaña
Más de 100 sistemas han sido comprometidos, con un impacto notable en Asia Oriental y algunos casos reportados en Europa y América, lo que evidencia el alcance y la sofisticación de la campaña. La utilización de herramientas legítimas como Nezha, junto con malware como Ghost RAT, complica la detección de ataques y aumenta el riesgo de que los atacantes mantengan control total sobre los servidores comprometidos.
5. Recomendaciones de seguridad
Los expertos en ciberseguridad recomiendan las siguientes medidas: parchear todas las aplicaciones expuestas, exigir autenticación en todos los entornos, incluso en pruebas, implementar un monitoreo proactivo para detectar web shells y procesos inusuales, así como restringir el acceso administrativo. También es crucial auditar logs y aplicar segmentación de red para reducir el impacto de posibles compromisos.
Referencias
- CISA – Exploiting phpMyAdmin Vulnerabilities
- Huntress – Nezha Campaign Overview
- SecurityWeek – Open Source Tools in Cyber Attacks