El ingeniero de investigación de malware de Darktrace, Nathaniel Bill, publicó el 10 de junio un análisis de una intrusión contra un honeypot basado en Docker en la que los atacantes usaron un contenedor mal configurado para escapar al host e instalar Nezha —una herramienta legítima de monitoreo de servidores china de código abierto con aproximadamente 10 000 estrellas en GitHub— como un implante encubierto de comando y control. La cadena de ataque comenzó con un comando malicioso docker create que pasó el directorio cron.d del host al contenedor; luego, el atacante escribió un trabajo cron de nivel raíz que obtuvo y ejecutó un script de shell remoto, el cual descargó una versión modificada del instalador oficial de Nezha preconfigurada con la dirección del servidor del atacante y sin indicaciones interactivas. Debido a que Nezha es una herramienta administrativa reconocida, su presencia puede integrarse en las herramientas operativas esperadas y evadir la detección centrada en malware, una técnica que Darktrace denomina „inversión de confianza“. En el momento del análisis, el panel de Nezha del atacante mostraba 141 servidores infectados, 45 aún en línea; la campaña también reveló una peculiaridad de diseño: el panel de monitoreo de Nezha no requiere autenticación para ver la lista de hosts, lo que permite leer abiertamente la escala y la distribución geográfica del grupo de víctimas. Darktrace identificó por separado 33 instalaciones de Nezha accesibles desde Internet a través de Shodan y Censys.
En paralelo, la comunidad de VPS de habla china ha estado desarrollando herramientas defensivas. El proyecto de GitHub Nezha-cleaner (41 estrellas, licencia MIT) proporciona un script bash de 10 pasos que finaliza los procesos de Nezha, elimina sus servicios y binarios de systemd, limpia las entradas cron y escanea el sistema de archivos en busca de rastros residuales, con la versión v1.4, publicada este mes, que añade protección Docker de tres capas para evitar eliminar accidentalmente contenedores no relacionados. El proyecto se publicó por primera vez en mayo de 2025 y ha iterado rápidamente, lo que sugiere un problema subyacente sostenido de instalaciones no autorizadas de Nezha en hosts VPS con Linux. El hilo del foro NodeSeek vinculado junto a estas fuentes refleja una discusión activa de la comunidad sobre detección y remediación. La conclusión general de Darktrace: a medida que el abuso de software de doble uso se vuelve más común, las organizaciones deberían invertir en controles de comportamiento y visibilidad de activos en lugar de depender únicamente de la detección de malware basada en firmas, particularmente en entornos de nube donde las herramientas de monitoreo legítimas y las puertas traseras de los atacantes pueden ser funcionalmente indistinguibles.