Cero detecciones en VirusTotal y acceso root: hackers burlan a todos los antivirus con herramientas administrativas legítimas
No parece un virus ni lo detectan las firmas, pero otorga acceso root/SYSTEM.
Los atacantes han empezado a usar una herramienta legítima de monitorización de servidores como una plataforma lista para gestionar de forma remota sistemas ya comprometidos. Según los datos de Ontinue Cyber Defense Center, en los nuevos incidentes aparece Nezha — una popular plataforma de supervisión y administración de código abierto que funciona tanto en Windows como en Linux.
En esta campaña Nezha no actúa como un programa malicioso en el sentido habitual, sino como una herramienta post-explotación de acceso remoto. Precisamente por su legalidad y por el soporte activo del proyecto, casi no despierta sospechas: en VirusTotal, como señalan los investigadores, sus componentes no obtuvieron detecciones en ninguno de los 72 motores analizados. El agente se instala de forma silenciosa y puede no llamar la atención durante mucho tiempo hasta que los atacantes comienzan a emitir órdenes; por eso los métodos clásicos basados en firmas suelen ser ineficaces en estos casos.
Los especialistas consideran que esto ejemplifica una tendencia en alza, en la que los atacantes abusan sistemáticamente de software “normal” para afianzarse en la infraestructura y moverse por la red eludiendo la detección. En Qualys, Mayuresh señaló que en entornos donde Nezha ya es una herramienta habitual, los defensores pueden no percibir anomalías: la actividad parece administración ordinaria.
Nezha se creó inicialmente para la comunidad de TI china y acumuló casi 10 000 estrellas en GitHub. Su arquitectura es típica de estas plataformas: existe un panel central de control y agentes ligeros en las máquinas gestionadas. Los agentes aceptan la ejecución de comandos, la transferencia de archivos y sesiones interactivas de terminal —funciones útiles para administradores, pero igualmente cómodas para atacantes.
Según el informe de Ontinue, en el ataque se empleó un script bash que intentaba desplegar el agente y conectarlo a una infraestructura controlada por los atacantes. El script contenía mensajes de estado en chino y parámetros de configuración que apuntaban a un panel de control remoto alojado en Alibaba Cloud, en la región de Japón. Los investigadores subrayan que el idioma de los mensajes es una pista muy débil para la atribución: tales “huellas” son fáciles de falsificar.
Una preocupación adicional es que el agente de Nezha está diseñado para operar con privilegios elevados. En entornos de prueba, Nezha en Windows proporciona una sesión interactiva de PowerShell con privilegios NT AUTHORITY\SYSTEM, y en Linux acceso a nivel root; para ello no se requiere ni una explotación adicional de una vulnerabilidad ni un escalado de privilegios.
Según los especialistas, el problema no es que Nezha sea “malicioso”, sino que permite a los atacantes ahorrar tiempo en desarrollar herramientas propias y ejecutar con fiabilidad comandos remotos, trabajar con archivos y obtener una consola interactiva en la máquina comprometida.
En el marco de la investigación, Ontinue también examinó un tablero abierto vinculado al incidente: indicios indirectos apuntaban a que podría haber estado conectado a cientos de puntos finales. Esa escala es posible si se compromete un secreto compartido o una clave de acceso y un panel de control empieza a “mantener” una gran cantidad de máquinas.
La principal dificultad para la defensa, reconocen los investigadores, es distinguir el uso legítimo de la herramienta del abuso. En estos casos todo depende del contexto: quién instaló el agente, cuándo apareció, a dónde se conecta, qué comandos ejecuta y cuánto se parece eso al trabajo habitual de un administrador. Como resumen en Qualys, es hora de dejar de dividir las herramientas en 'malas' y 'buenas' y, en su lugar, centrarse en el comportamiento y el escenario de uso.