Ferramenta Nezha usada em nova campanha cibernética direcionada a aplicativos da Web – Against Invaders – Notícias de CyberSecurity para humanos.

Ferramenta Nezha usada em nova campanha cibernética direcionada a aplicativos da Web - Against Invaders - Notícias de CyberSecurity para humanos.

Uma campanha cibernética recém-descoberta com a ferramenta de código aberto Nezha foi observada visando aplicativos da web vulneráveis.

A partir de agosto de 2025, os analistas da Huntress rastrearam uma intrusão sofisticada que usou técnicas criativas de envenenamento de log para implantar um shell da web PHP, posteriormente gerenciado com o AntSword e seguido pela instalação do agente Nezha e do malware Ghost RAT.

A descoberta marca o primeiro relatório público do Nezha sendo usado para facilitar o comprometimento do servidor web. O utilitário de monitoramento e gerenciamento de tarefas, normalmente empregado para administração legítima do sistema, foi reaproveitado por agentes de ameaças vinculados à infraestrutura baseada na China.

Como o ataque se desenrolou

Os investigadores da Huntress descobriram que os invasores obtiveram acesso por meio de um painel do phpMyAdmin exposto à Internet.

Usando um IP hospedado na AWS, eles mudaram o idioma da interface para chinês simplificado antes de executar uma série de comandos SQL. Essas ações habilitaram o log de consulta geral no MariaDB e o direcionaram para gravar em um arquivo .php, plantando efetivamente um backdoor oculto nos dados de log normais.

Os invasores então controlaram o servidor web comprometido usando o AntSword, baixando um arquivo chamado “live.exe”, que acabou sendo o agente Nezha. Uma vez instalado, esse agente se conecta a um servidor de comando em c.mid[.]al, permitindo monitoramento remoto e execução de tarefas.

“Este incidente destaca a necessidade de garantir que os aplicativos voltados para o público sejam corrigidos”, disseram os pesquisadores da Huntress.

“Ao entender o processo passo a passo usado por invasores como esse, podemos ajustar melhor nossas ferramentas.”

Leia mais sobre Web shells: Microsoft: Invasores comprometendo ativamente clientes locais do SharePoint

A Huntress descobriu que mais de 100 sistemas de vítimas estavam se comunicando com o painel Nezha do invasor.

A maioria das máquinas afetadas estava localizada em Taiwan, Japão, Coreia do Sul e Hong Kong. Os analistas também observaram um pequeno número de infecções em todo o mundo, inclusive nos EUA, Índia e vários países europeus.

Os invasores utilizaram o Nezha para executar comandos do PowerShell que desativaram as verificações do Windows Defender antes de implantar o “x.exe”, uma variante do Ghost RAT.

O malware estabeleceu persistência sob o nome “SQLlite” e se comunicou com domínios de comando e controle (C2) registrados por meio de entidades vinculadas à China.

Medidas de proteção

Os pesquisadores da Huntress recomendaram que as organizações tomem várias medidas defensivas para evitar invasões semelhantes.

Esses incluem:

  • Garantir que os aplicativos voltados para o público sejam corrigidos e reforçados

  • Garantir que a autenticação seja necessária sempre que possível, inclusive em ambientes de teste

  • Obter visibilidade e lógica de detecção para detectar atividades pós-exploração, como shells da Web, criação de serviços suspeitos e executáveis executados em diretórios incomuns

Os defensores devem permanecer alertas, pois os agentes de ameaças continuam a combinar software legítimo com intenção maliciosa de evitar a detecção.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.