Nezha

O cenário da cibersegurança está se tornando cada vez mais complexo, com atacantes utilizando ferramentas comuns e interfaces familiares para realizar suas atividades maliciosas. Recentemente, foi identificado um padrão de ataques que se destaca pela precisão, paciência e persuasão, onde os invasores não se destacam, mas se camuflam em atividades normais. Um exemplo é o uso do Nezha, uma ferramenta de monitoramento de código aberto, que está sendo explorada por cibercriminosos para obter acesso remoto a sistemas comprometidos. Além disso, a Coreia do Sul implementou uma nova política que exige reconhecimento facial para a ativação de novos números de telefone, visando combater fraudes e roubo de identidade. Por outro lado, a detecção de malware que explora NFC em dispositivos Android aumentou em 87% na segunda metade de 2025, demonstrando a crescente sofisticação das ameaças. Outro ponto alarmante é a distribuição de exploits falsos que visam profissionais inexperientes em segurança da informação, levando à instalação de backdoors como o WebRAT. Esses incidentes ressaltam a importância de uma conscientização mais aguda sobre as ameaças cibernéticas e a necessidade de estratégias de defesa mais eficazes, que vão além de simplesmente construir muros de proteção.

A recente análise de um ataque cibernético revela que atores de ameaça chineses estão utilizando a ferramenta de monitoramento open-source Nezha como um framework malicioso de comando e controle. Originalmente projetada para monitoramento leve de servidores, a Nezha foi adaptada para emitir comandos arbitrários e estabelecer persistência em servidores web comprometidos. Após a implantação inicial de shells web, os atacantes instalaram agentes Nezha disfarçados de binários administrativos em mais de 100 máquinas vítimas, com a maioria dos alvos localizados em Taiwan, Japão, Coreia do Sul e Hong Kong. A infraestrutura dos atacantes apresenta características de campanhas de ameaças persistentes avançadas, utilizando recursos em nuvem como AWS e servidores privados virtuais, o que dificulta a rastreabilidade. A configuração do painel da Nezha em russo sugere uma possível cooperação global ou uso de ferramentas compartilhadas. Para mitigar esses riscos, recomenda-se que as organizações implementem segmentação de rede rigorosa e monitorem o uso anômalo de ferramentas administrativas.

Um grupo de cibercriminosos com supostas ligações à China transformou a ferramenta de monitoramento de código aberto Nezha em uma arma de ataque, utilizando-a para distribuir o malware conhecido como Gh0st RAT. A atividade foi detectada pela empresa de cibersegurança Huntress em agosto de 2025 e envolveu uma técnica incomum chamada ’log poisoning’ para implantar um web shell em servidores vulneráveis. Os invasores conseguiram acesso inicial através de um painel phpMyAdmin exposto e vulnerável, alterando a linguagem para chinês simplificado. Após acessar a interface SQL do servidor, eles executaram comandos SQL para inserir um web shell PHP, que foi registrado em um arquivo de log. Isso permitiu que os atacantes utilizassem o web shell ANTSWORD para executar comandos e implantar o agente Nezha, que possibilita o controle remoto de máquinas infectadas. A maioria das vítimas está localizada em Taiwan, Japão, Coreia do Sul e Hong Kong, mas há também um número significativo em outros países, incluindo Brasil, Reino Unido e Estados Unidos. Este incidente destaca como ferramentas de código aberto podem ser mal utilizadas por cibercriminosos, representando um risco crescente para a segurança cibernética global.