Envenenamiento de registros: una táctica que deja inútiles incluso a los sistemas de protección más modernos
Cómo recurrir a herramientas legítimas permite a los delincuentes abaratar sus operaciones
En agosto de 2025, especialistas de Huntress registraron un ataque que empleó la herramienta legítima Nezha, diseñada originalmente para monitorizar servidores. Durante la campaña, los atacantes, presuntamente vinculados a China, la utilizaron como medio de control remoto y para entregar el software malicioso Gh0st RAT.
Esto ocurrió después de que comprometieran un servidor web mediante una técnica llamada "envenenamiento de registros". Dicha técnica permite implantar una web shell en el servidor escribiendo código malicioso en un archivo de registros y renombrarlo como un script PHP que puede ejecutarse mediante una petición HTTP ordinaria.
El acceso inicial se obtuvo a través de un panel phpMyAdmin vulnerable, expuesto públicamente. Tras la intrusión, los atacantes cambiaron el idioma de la interfaz al chino simplificado y ejecutaron una serie de consultas SQL para activar el registro, y luego implantaron su script.
A través de la web shell ANTSWORD comprobaron el nivel de acceso con el comando whoami e instalaron el agente Nezha, que se conectó a un servidor de mando y control externo. Las acciones posteriores incluyeron la ejecución de un script de PowerShell que desactivaba la protección de Microsoft Defender y activaba el cargador de Gh0st RAT, un programa malicioso frecuentemente utilizado por grupos delictivos cibernéticos chinos.
Aunque el impacto principal se concentró en Taiwán, Japón, Corea del Sur y Hong Kong, también resultaron afectadas víctimas en más de 20 países, incluidos Singapur, India, Reino Unido, Estados Unidos, Francia y Australia. En total se registraron al menos cien infecciones.
El equipo de Huntress considera que, además de phpMyAdmin, se emplearon otros vectores de intrusión, ya que en algunos sistemas comprometidos no se observaron rastros del uso de ese panel. Esto queda corroborado por los metadatos de los agentes Nezha instalados, hallados en infraestructuras donde ese software no suele usarse. Teniendo en cuenta las marcas temporales de conexiones al panel de control, se supone que la campaña maliciosa pudo comenzar en junio de 2025 o antes.
El esquema descrito demuestra hasta qué punto los atacantes aprenden y adaptan herramientas de código abierto para sus fines. El uso de soluciones legítimas reduce los costes de desarrollo de software malicioso, dificulta la atribución y disminuye la probabilidad de detección por parte de los sistemas de defensa. Esto subraya la necesidad de prestar atención a las herramientas públicas, incluso a aquellas diseñadas originalmente para fines benignos.
Las huellas digitales son tu debilidad, y los hackers lo saben