O engenheiro de pesquisa de malware da Darktrace, Nathaniel Bill, publicou em 10 de junho uma análise de uma intrusão contra um honeypot baseado em Docker na qual os invasores usaram um contêiner mal configurado para escapar para o host e instalar o Nezha — uma ferramenta legítima e de código aberto de monitoramento de servidores chinesa com aproximadamente 10.000 estrelas no GitHub — como um implante oculto de comando e controle. A cadeia de ataque começou com um comando docker create malicioso que passou o diretório cron.d do host para o contêiner; o invasor então escreveu um cron job de nível root que buscou e executou um script remoto, o qual baixou uma versão modificada do instalador oficial do Nezha pré-configurada com o endereço do servidor do invasor e sem prompts interativos. Como o Nezha é uma ferramenta administrativa reconhecida, sua presença pode se misturar às ferramentas operacionais esperadas e escapar da detecção focada em malware — uma técnica que a Darktrace chama de “inversão de confiança”. No momento da análise, o painel Nezha do invasor mostrava 141 servidores infectados, 45 ainda online; a campanha também revelou uma peculiaridade de design — o painel de monitoramento do Nezha não exige autenticação para visualizar a lista de hosts, permitindo que a escala e a distribuição geográfica do pool de vítimas sejam lidas abertamente. A Darktrace identificou separadamente 33 instalações do Nezha acessíveis pela internet via Shodan e Censys.
Paralelamente, a comunidade chinesa de VPS vem desenvolvendo ferramentas defensivas. O projeto do GitHub Nezha-cleaner (41 estrelas, licença MIT) fornece um script bash de 10 etapas que elimina processos do Nezha, remove seus serviços e binários do systemd, limpa entradas do cron e varre o sistema de arquivos em busca de vestígios — com a v1.4, lançada este mês, adicionando proteção Docker em três camadas para evitar a remoção acidental de contêineres não relacionados. O projeto foi publicado pela primeira vez em maio de 2025 e teve iterações rápidas, sugerindo um problema subjacente persistente de instalações não autorizadas do Nezha em hosts Linux VPS. O tópico do fórum NodeSeek vinculado a essas fontes reflete uma discussão ativa da comunidade sobre detecção e remediação. A conclusão geral da Darktrace: à medida que o abuso de software de uso duplo se torna mais comum, as organizações devem investir em controles comportamentais e de visibilidade de ativos, em vez de confiar apenas na detecção de malware baseada em assinaturas, particularmente em ambientes de nuvem onde ferramentas de monitoramento legítimas e backdoors de invasores podem ser funcionalmente indistinguíveis.