Una reciente investigación de Huntress Labs ha revelado una sofisticada operación de ciberespionaje asociada a un actor con nexos chinos, que emplea una novedosa combinación de herramientas legítimas y maliciosas.
El hallazgo pone de relieve la evolución de las tácticas de acceso inicial, persistencia y control remoto, en una campaña que ya ha comprometido más de un centenar de sistemas en Asia Oriental.

Un vector de ataque poco común: del log poisoning al control total

El ataque comenzó con algo aparentemente inofensivo: un panel de administración phpMyAdmin mal configurado y expuesto públicamente.
A través de este punto de entrada, los atacantes ejecutaron una técnica poco habitual conocida como log poisoning, que consiste en insertar código malicioso dentro de los registros (logs) del sistema.

En este caso, los archivos de registro fueron manipulados para incluir una línea de código PHP que actuaba como web shell, otorgando control remoto completo sobre el servidor.
Este tipo de acceso inicial suele pasar desapercibido, ya que el archivo comprometido parece un log legítimo, pero en realidad ejecuta comandos al ser cargado desde el navegador.

Una vez dentro, el actor instaló la herramienta Nezha, un software legítimo de monitoreo de servidores de código abierto.
Sin embargo, en manos del atacante, Nezha funcionó como túnel encubierto de administración remota, facilitando la ejecución de comandos, la carga de nuevos archivos y la instalación de malware adicional.

Ghost RAT: el malware clásico que regresa con un disfraz moderno

El siguiente paso de la operación fue la descarga e instalación de un ejecutable llamado x.exe, identificado por los analistas de Huntress como una variante de Ghost RAT (Remote Access Trojan).
Esta herramienta, conocida desde hace más de una década, permite el control total de sistemas comprometidos, incluyendo la ejecución de comandos, robo de archivos, capturas de pantalla y monitoreo de procesos.

Ghost RAT ha sido utilizado históricamente en campañas de espionaje asociadas a grupos con nexos en China.
Su presencia, combinada con el uso de Nezha, sugiere una evolución estratégica: usar software legítimo para enmascarar la presencia de malware y dificultar su detección por soluciones antivirus o EDR tradicionales.

Victimología y motivación geopolítica

Según el informe, los ataques se han concentrado principalmente en Taiwán, Japón, Corea del Sur y Hong Kong, con escasos casos en la China continental.
Este patrón geográfico refuerza la hipótesis de que la campaña tiene motivaciones políticas o de espionaje estratégico, más que un objetivo financiero directo.

Huntress estima que más de 100 equipos han sido comprometidos, incluyendo tanto servidores como estaciones de trabajo personales.
El uso de nombres de host y rutas de archivo en idiomas asiáticos permitió identificar la procedencia de las víctimas y la posible infraestructura comprometida.

Análisis de amenazas: técnica, táctica y procedimiento (TTP)

El análisis de amenazas revela una estructura de ataque en varias fases:

1. Acceso inicial mediante panel phpMyAdmin sin autenticación.
2. Ejecución de log poisoning para insertar un web shell PHP.
3. Despliegue de Nezha como herramienta de persistencia y control remoto.
4. Instalación de Ghost RAT y apertura de comunicación con el servidor C2.
5. Exclusión de antivirus y camuflaje de procesos bajo nombres falsos como “SQLlite”.

Esta cadena de ataque muestra un alto nivel de conocimiento técnico y una clara intención de mantener el acceso el mayor tiempo posible, combinando técnicas de ofuscación, abuso de herramientas legítimas y persistencia encubierta.

Recomendaciones para mitigar el riesgo

Los especialistas de Huntress y diversos analistas independientes recomiendan una serie de acciones prioritarias para prevenir este tipo de intrusiones:

• Restringir el acceso remoto a herramientas como phpMyAdmin mediante VPN o autenticación multifactor.
• Auditar los registros del servidor en busca de modificaciones sospechosas o archivos con extensión .php dentro de directorios de logs.
• Monitorear procesos hijos de servicios web (apache, nginx, etc.) que ejecuten comandos de PowerShell o cmd.exe.
• Bloquear dominios y direcciones IP asociadas a los indicadores de compromiso (IOCs) publicados por Huntress.
• Implementar un programa continuo de análisis de amenazas y simulaciones de intrusión controladas para probar la resiliencia de la infraestructura.

Un recordatorio urgente para las organizaciones

El caso Nezha-Ghost RAT demuestra que los atacantes están combinando creatividad técnica con herramientas legítimas, difuminando la línea entre administración y ataque.
Los equipos de seguridad deben asumir que la visibilidad es tan importante como la prevención: sin monitoreo constante, no hay defensa efectiva.

El incidente también evidencia la necesidad de una colaboración más estrecha entre equipos SOC, CERT y CSIRT, para compartir indicadores de compromiso y patrones de ataque antes de que escalen globalmente.

Conclusión: reforzar la defensa antes de la próxima campaña

La aparición de Nezha como herramienta de ataque marca un nuevo capítulo en la evolución de las tácticas cibernéticas con origen en Asia.
Su combinación con Ghost RAT, el uso de log poisoning y la explotación de configuraciones débiles subrayan una realidad: el acceso inicial no siempre requiere vulnerabilidades complejas, sino simples descuidos.

La mejor defensa sigue siendo la prevención activa, la supervisión continua y la actualización constante de las estrategias de detección.
Las organizaciones deben actuar ahora, no solo para mitigar este ataque, sino para fortalecer sus capacidades de respuesta ante las campañas que, sin duda, vendrán después.

Referentes

Minton, J., Northey, J., & Schmidt, A. (2025, 8 de octubre). The Crown Prince, Nezha: A new tool favored by China-nexus threat actors. Huntress. https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool