Nathaniel Bill, Forscher für Schadsoftware bei Darktrace, veröffentlichte am 10. Juni eine Analyse eines Angriffs auf einen Docker-basierten Honeypot, bei dem Angreifer einen falsch konfigurierten Container nutzten, um auf den Host auszubrechen und Nezha zu installieren – ein legitimes, quelloffenes chinesisches Server-Überwachungstool mit rund 10.000 GitHub-Sternen – als verdeckte Command-and-Control-Implantation. Die Angriffskette begann mit einem böswilligen docker create-Befehl, der das cron.d-Verzeichnis des Hosts an den Container weitergab; der Angreifer erstellte dann einen Root-Cron-Job, der ein Remote-Shell-Skript abrief und ausführte, welches eine modifizierte Version des offiziellen Nezha-Installers herunterlud, die mit der Serveradresse des Angreifers vorkonfiguriert und um interaktive Eingabeaufforderungen bereinigt war. Da Nezha ein anerkanntes Verwaltungstool ist, kann sich seine Präsenz in die erwartete operative Werkzeuglandschaft einfügen und eine auf Schadsoftware ausgerichtete Erkennung umgehen – eine Technik, die Darktrace als „Trust Inversion“ bezeichnet. Zum Zeitpunkt der Analyse zeigte das Nezha-Dashboard des Angreifers 141 infizierte Server, 45 davon noch online; die Kampagne offenbarte zudem eine Design-Eigenheit: Das Nezha-Überwachungspanel erfordert keine Authentifizierung, um die Host-Liste einzusehen, sodass der Umfang und die geografische Verteilung der Opfer offen eingesehen werden können. Darktrace identifizierte separat 33 internetzugängliche Nezha-Installationen, die über Shodan und Censys auffindbar waren.
Parallel dazu hat die chinesischsprachige VPS-Community Abwehrwerkzeuge entwickelt. Das GitHub-Projekt Nezha-cleaner (41 Sterne, MIT-Lizenz) bietet ein 10-stufiges Bash-Skript, das Nezha-Prozesse beendet, seine systemd-Dienste und Binärdateien entfernt, Cron-Einträge löscht und das Dateisystem auf Restspuren durchsucht – mit der in diesem Monat veröffentlichten Version 1.4 wurde ein dreistufiger Docker-Schutz hinzugefügt, um das versehentliche Entfernen nicht zusammenhängender Container zu vermeiden. Das Projekt wurde erstmals im Mai 2025 veröffentlicht und seither schnell weiterentwickelt, was auf ein anhaltendes grundlegendes Problem mit unbefugten Nezha-Installationen auf Linux-VPS-Hosts hindeutet. Der zugehörige NodeSeek-Forumsthread spiegelt die aktive Community-Diskussion über Erkennung und Abhilfe wider. Die übergeordnete Schlussfolgerung von Darktrace: Da der Missbrauch von Dual-Use-Software immer häufiger wird, sollten Unternehmen in Verhaltens- und Asset-Sichtbarkeitskontrollen investieren, anstatt sich ausschließlich auf signaturbasierte Malware-Erkennung zu verlassen – insbesondere in Cloud-Umgebungen, in denen legitime Überwachungstools und Angreifer-Backdoors funktional nicht unterscheidbar sein können.