Nezha é reutilizado como RAT em campanhas que comprometeram centenas de hosts
Analistas da Ontinue identificaram atacantes reaproveitando o agente legítimo Nezha (ferramenta de monitoramento open‑source) para operar como RAT, comprometendo centenas de endpoints. O agente roda com privilégios elevados (SYSTEM/root) e binário legítimo obteve zero detecções em 72 vendors no VirusTotal. O script de implantação apontava para C2 na Alibaba Cloud (IP 47.79.42.91). Recomendações: caçar presença de Nezha, isolar dashboards e checar