O que os pesquisadores encontraram
Durante investigação de um incidente de pós‑exploração, analistas da Ontinue descobriram que atacantes estavam usando o agente legítimo do Nezha apontado a servidores de comando e controle próprios. Um script de implantação contenha parâmetros do C2, tokens de autenticação e configuração TLS desabilitada. A análise indicou que centenas de endpoints foram comprometidos no evento observado.
Por que Nezha é uma plataforma atrativa para abusos
- Nezha é uma ferramenta legítima de monitoramento com modelo cliente‑servidor: um dashboard central controla agentes leves instalados em hosts gerenciados.
- Os agentes possuem capacidades legítimas de execução remota de comandos, transferência de arquivos e sessões interativas — funcionalidades que, quando apontadas a infraestrutura adversária, oferecem um RAT completo sem payloads adicionais.
- Nos casos analisados, o agente roda com privilégios elevados (SYSTEM no Windows; root no Linux) porque precisa desses níveis para coletar métricas do sistema, o que elimina a necessidade de escalonamento de privilégios por parte do atacante.
Infraestrutura e evidências
Ontinue reportou que o script apontava para servidores hospedados na Alibaba Cloud, incluindo um IP identificado (47.79.42.91) geolocalizado ao Japão. Além disso, a versão legítima do binário obteve zero detecções em 72 fornecedores no VirusTotal — o que facilita a permanência do agente em ambientes visados.
Vetor operacional e tradecraft
A implantação ocorreu de forma silenciosa, segundo o relatório. A detecção só ocorreu quando operadores maliciosos iniciaram comandos via agente e os analistas puderam acessar o dashboard adversário em ambiente sandbox. Mensagens de status em chinês natural presentes nos scripts sugerem autoria por falante nativo.
Impacto e riscos
Quando um agente legítimo é configurado para se comunicar com infraestrutura de um atacante, a organização perde visibilidade e controle sobre o host. Funções como shell interativo, gestão de arquivos e execução de comandos com privilégios elevados permitem movimento lateral, exfiltração, e persistência sem necessidade de escrever binários maliciosos adicionais.
Recomendações práticas para SOCs e CSIRTs
- Hunt for Nezha: caçar sinais de instalação do agente (binaries, serviços, conexões de saída para endpoints não autorizados) e validar a origem do dashboard ao qual agentes se conectam.
- Aplicar segmentação de rede para isolar ferramentas de monitoramento e exigir conexões TLS/Mutual TLS com servidores de dashboard autorizados.
- Implementar logging e alertas sobre shells interativos iniciados por processos de monitoramento; monitorar atividades anômalas de processos com privilégios elevados.
- Verificar integridade de configurações de agentes e revogar quaisquer tokens desconhecidos ou chaves embutidas em scripts de implantação.
Limitações e pontos sem confirmação pública
O relatório descreve o alcance observado (centenas de hosts) e a infraestrutura apontada, mas não divulga uma lista completa de organizações afetadas nem atribui campanha a um ator específico. Também não há, no comunicado, confirmação de compromissos em setores específicos no Brasil.
Conclusão
O abuso de ferramentas legítimas de administração/monitoramento como vetor de RAT é uma tendência operacional preocupante: reduz a necessidade de malware customizado e explora confiança operacional existente na infraestrutura de gestão. Organizações devem tratar componentes de administração com o mesmo rigor aplicado a software de terceiros e exigir práticas de autenticação e criptografia robustas para dashboards e agentes.