Negli ultimi mesi, un gruppo di hacker legati alla Cina ha sfruttato Nezha, uno strumento open source tradizionalmente utilizzato per il monitoraggio di sistemi, trasformandolo in un potente vettore d’attacco informatico. Secondo recenti analisi di Huntress, da giugno 2025 questo gruppo è riuscito a compromettere oltre 100 server, con un impatto significativo soprattutto su infrastrutture situate a Taiwan, Giappone, Corea del Sud e Hong Kong, ma con vittime sparse anche in Europa, America e altri paesi asiatici.

Vettore di attacco e tecniche utilizzate

Il vettore di attacco principale sfrutta vulnerabilità note all’interno di pannelli phpMyAdmin esposti pubblicamente. Gli hacker ottengono l’accesso iniziale utilizzando una tecnica denominata log poisoning o log injection, con cui riescono a inserire una web shell PHP attraverso i log delle query SQL. Questo metodo permette loro di controllare il server tramite ANTSWORD, un noto strumento per la gestione remota delle web shell.

Installazione e uso di Nezha

Una volta dentro il sistema, gli attaccanti utilizzano l’accesso per installare l’agente Nezha, che consente di eseguire comandi da remoto e monitorare il server in tempo reale. Il controllo viene mantenuto tramite connessione a un server esterno controllato dagli hacker, mascherando le operazioni attraverso l’uso di dashboard Nezha configurate in lingua russa per depistare le indagini.

Distribuzione di Gh0st RAT

Il passo successivo nella catena di compromissione è l’esecuzione di uno script PowerShell, che disabilita le protezioni di Microsoft Defender Antivirus e avvia il malware Gh0st RAT, uno dei trojan più utilizzati dagli attori di minaccia cinesi per il controllo remoto e il furto di dati. Il malware viene avviato tramite un loader che esegue un dropper, responsabile di installare e attivare il payload principale.

Rischi dell’uso di strumenti open source

Questa campagna evidenzia come la diffusione di strumenti open source, anche pensati per scopi legittimi, possa diventare un pericolo quando finisce nelle mani sbagliate. Strumenti pubblici come Nezha vengono spesso preferiti dagli hacker per la facilità di reperimento, il basso costo di ricerca e la capacità di confondere le difese tradizionali, riducendo la probabilità di essere rilevati da soluzioni di sicurezza standard.

Raccomandazioni per la sicurezza

L’utilizzo di Nezha e Gh0st RAT in questo contesto sottolinea l’importanza di mantenere aggiornati i sistemi, proteggere i pannelli di amministrazione e monitorare costantemente eventuali attività anomale nei log di sistema, soprattutto su server esposti su internet. Il fenomeno ribadisce la necessità per le aziende di rafforzare le proprie strategie di threat intelligence e di adottare un approccio proattivo nella gestione della sicurezza informatica.