Ciberdelincuentes Vinculados a China Convierten Nezha en Vector para Gh0st RAT Mediante Log Poisoning

Introducción

La sofisticación de las amenazas persistentes avanzadas (APT) vinculadas a actores estatales continúa evolucionando, y los ciberdelincuentes no dejan de innovar en sus métodos de ataque. Recientemente, se ha detectado una campaña atribuida a actores con presunto vínculo con China, quienes han transformado Nezha —una herramienta legítima y open source de monitorización— en un componente clave de su cadena de ataque. El objetivo: desplegar el conocido troyano de acceso remoto Gh0st RAT mediante una técnica poco habitual, el log poisoning, para comprometer servidores web y obtener persistencia en los sistemas afectados.

Contexto del Incidente o Vulnerabilidad

El incidente fue documentado por la firma de ciberseguridad Huntress en agosto de 2025. Los atacantes aprovecharon Nezha, habitualmente utilizada para monitorización de servidores y verificación de disponibilidad, como vector de entrega para herramientas maliciosas. La campaña detectada se distingue por el uso de log poisoning (inyección de logs), una técnica que manipula los archivos de registro de aplicaciones web para introducir código malicioso que posteriormente puede ser ejecutado en el servidor comprometido. El objetivo final es la implantación de una web shell y la ejecución de Gh0st RAT, una amenaza ampliamente asociada a actividades de ciberespionaje y robo de información.

Detalles Técnicos

La campaña se apoya en la explotación de vulnerabilidades conocidas en aplicaciones web, donde la validación insuficiente de entradas permite la inyección de comandos maliciosos en los archivos de log. Cuando un administrador revisa o la aplicación procesa estos logs, el código malicioso es ejecutado, permitiendo a los atacantes desplegar una web shell. A través de esta puerta trasera, se descarga y ejecuta Gh0st RAT.

El vector de ataque se ha alineado con la técnica T1059 (Command and Scripting Interpreter) y T1505.003 (Server Software Component: Web Shell) del framework MITRE ATT&CK. Los Indicadores de Compromiso (IoC) documentados incluyen rutas anómalas en logs, presencia de artefactos de web shells (por ejemplo, China Chopper, Behinder) y conexiones salientes hacia infraestructuras C2 asociadas a Gh0st RAT.

Nezha, por su parte, fue modificado para transportar código malicioso o scripts de descarga y ejecución, aprovechando su presencia legítima en muchas infraestructuras. Aunque la investigación no ha identificado una vulnerabilidad específica de Nezha (sin CVE asignado en el momento de la publicación), su utilización como “living-off-the-land” (LOLBin) representa una amenaza significativa para defensas basadas en listas blancas de aplicaciones.

Impacto y Riesgos

El impacto de esta campaña es considerable, especialmente para organizaciones con servidores web expuestos y monitorización descentralizada. Gh0st RAT, una vez desplegado, otorga control remoto total al atacante: captura de pantalla, registro de teclado, exfiltración de archivos y persistencia en el sistema. Las capacidades de movimiento lateral aumentan el riesgo de compromisos en toda la red corporativa.

El uso de Nezha como vector complica la detección, pues se trata de una herramienta legítima y ampliamente adoptada. Los actores de amenaza han mostrado un notable conocimiento de las prácticas de evasión, dificultando la identificación por parte de sistemas EDR tradicionales y soluciones SIEM no adaptadas a técnicas LOLBin.

Las cifras de Huntress indican que los intentos de explotación se han registrado principalmente en Asia y Europa, con un 22% de los servidores monitorizados por Nezha afectados en algún grado. Las pérdidas potenciales para organizaciones comprometidas pueden superar los 2,5 millones de euros, considerando tanto el coste de la respuesta como el impacto en la reputación y la posible sanción en virtud del RGPD o la próxima directiva NIS2.

Medidas de Mitigación y Recomendaciones

– Revisar y endurecer la validación de entradas en aplicaciones web para evitar la inyección de comandos en logs.
– Monitorizar la integridad de archivos de logs y buscar patrones anómalos (IoC).
– Limitar permisos de acceso a usuarios y procesos que gestionan logs y herramientas de monitorización.
– Aplicar segmentación de red y listas blancas de aplicaciones, prestando atención a herramientas open source instaladas.
– Actualizar y parchear todas las aplicaciones y frameworks web a la última versión disponible.
– Implementar detección proactiva de web shells mediante reglas YARA y análisis forense de logs.
– Revisar la configuración y seguridad de herramientas de monitorización como Nezha, eliminando instancias innecesarias o no autorizadas.

Opinión de Expertos

Expertos de SANS Institute y analistas de Huntress coinciden en destacar la sofisticación del uso de log poisoning y la reutilización de herramientas legítimas para evadir controles de seguridad. “El abuso de Nezha como LOLBin marca una tendencia peligrosa: los atacantes no solo buscan vulnerabilidades, sino también procesos y herramientas de confianza en la cadena de suministro de software”, señala Ana Martínez, analista SOC senior. Recomiendan un enfoque Zero Trust y una auditoría continua de la infraestructura de monitorización.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus políticas de seguridad en torno a herramientas open source y reforzar la formación de administradores y equipos SOC respecto a amenazas emergentes. El cumplimiento con RGPD y NIS2 requiere una respuesta ágil y una mejora continua de los procesos de detección. Para los usuarios, la concienciación sobre el uso seguro de aplicaciones web y la importancia de reportar comportamientos anómalos es más relevante que nunca.

Conclusiones

La campaña atribuida a actores chinos, que aprovecha Nezha y técnicas de log poisoning para desplegar Gh0st RAT, subraya la importancia de una defensa en profundidad y de la vigilancia sobre herramientas legítimas. La evolución de los TTPs y la creatividad en el abuso de software open source exigen a los equipos de ciberseguridad mantenerse actualizados y adoptar medidas de protección avanzadas.

(Fuente: feeds.feedburner.com)