Nezha: Beliebte Überwachungs-Software wird zur Cyber-Waffe

Cybersecurity-Forscher entdecken gefährliche Angriffswelle: Angreifer missbrauchen das Open-Source-Tool “Nezha” als unsichtbaren Fernzugang zu Unternehmensnetzwerken – und umgehen so alle gängigen Sicherheitsvorkehrungen.

Ein neuer, raffinierter Cyberangriff nutzt ein populäres Server-Überwachungstool als perfekte Tarnung. Wie Experten des Cyber Defense Center von Ontinue diese Woche berichteten, verwenden Kriminelle die legitime Open-Source-Software “Nezha” als getarntes Fernsteuerungsprogramm (Remote Access Trojan, RAT). Diese als “Living-off-the-Land” bekannte Taktik macht die Angreifer im Datenverkehr nahezu unsichtbar.

Die “unsichtbare” Hintertür

Die Attacke, die Ontinue bei der Untersuchung eines Sicherheitsvorfalls aufdeckte, zeigt einen besorgniserregenden Trend: Angreifer nutzen zunehmend vertrauenswürdige Administrations-Tools, um sich vor Erkennung zu schützen. Laut dem Bericht vom 22. Dezember installieren die Täter den Nezha-Agenten mit einem speziellen Bash-Skript auf kompromittierten Systemen.

Da es sich bei Nezha um ein seriöses, aktiv gepflegtes Projekt mit fast 10.000 Bewertungen auf GitHub handelt, stuft Sicherheitssoftware es als harmlos ein. Die Tarnung ist so effektiv, dass die manipulierte Nezha-Version zum Analysezeitpunkt bei 72 Sicherheitsanbietern auf VirusTotal null Erkennungen auslöste.

Passend zum Thema nutzen Angreifer zunehmend legitime Überwachungstools als Tarnung — wie die Nezha-Kampagne zeigt, entgehen diese Angriffe klassischen Signaturchecks und bleiben oft unentdeckt. Der kostenlose E‑Book‑Leitfaden “Cyber Security Awareness Trends” erklärt, welche organisatorischen und technischen Maßnahmen jetzt wirken: Verhaltensanalysen, Netzwerksegmentierung und C2‑Erkennung. Er richtet sich an IT‑Verantwortliche und Geschäftsführer, die ihre Abwehr schnell und pragmatisch verbessern wollen. Jetzt Gratis-Cybersecurity-Leitfaden herunterladen

“Die Instrumentalisierung von Nezha spiegelt eine moderne Angriffsstrategie wider”, erklärt Mayuresh Dani, Security Research Manager bei Qualys. “Bedrohungsakteure missbrauchen systematisch legale Software, um sich im Netzwerk zu halten und seitwärts zu bewegen – und umgehen dabei signaturbasierte Abwehrmaßnahmen.”

SYSTEM-Zugriff in Sekunden

Einmal installiert, verschafft der Nezha-Agent den Angreifern sofort höchste Privilegien, ohne weitere Schwachstellen ausnutzen zu müssen. Unter Windows läuft er mit SYSTEM-Rechten, unter Linux als Root-Benutzer.

“Besorgniserregend ist, dass der Agent SYSTEM- oder Root-Zugriff bietet”, so Dani. “Obwohl das Tool an sich nicht bösartig ist, ermöglicht es Angreifern, ferne Befehle auszuführen, auf Dateien zuzugreifen und interaktive Shells zu nutzen – und spart ihnen dabei Entwicklungszeit.”

Die Untersuchung ergab weitere Details zur Infrastruktur der Kampagne:
* Verbreitung: Ein Bash-Skript installiert den Agenten still und registriert ihn bei einem von Angreifern kontrollierten Dashboard.
* Infrastruktur: Das Command-and-Control-Dashboard (C2) wurde auf Alibaba Cloud-Servern in Japan gehostet.
* Spuren: Die Skripte enthielten Statusmeldungen in vereinfachtem Chinesisch, was auf muttersprachliche Täter hindeutet.
* Umfang: Das offengelegte Dashboard zeigte Verbindungen von hunderten Endgeräten – ein Hinweis auf einen breiten Angriff, nicht auf einen gezielten Einzelfall.

Ein bekanntes Muster mit neuer Drehung

Die Methode folgt einem beunruhigenden Muster des Missbrauchs legitimer Tools, das Sicherheitsexperten seit Ende 2025 beobachten. Nezha selbst stand bereits seit Monaten auf den Beobachtungslisten.

Bereits im Oktober 2025 meldete das Sicherheitsunternehmen Huntress ähnliche Angriffe auf Organisationen in Ostasien. Damals wurde Nezha zusammen mit anderer Malware wie dem Gh0st RAT eingesetzt. Die neuen Erkenntnisse deuten darauf hin, dass die Täter ihre Taktik verfeinert haben: Nezha dient nun nicht mehr nur als Ladeprogramm, sondern als primärer, dauerhafter Zugangsmechanismus.

Die Nutzung von Nischen-Tools wie Nezha – ursprünglich für die chinesische IT-Community entwickelt – erschwert die Erkennung für westliche Sicherheitsteams, die mit dem normalen Verhalten der Software nicht vertraut sind.

Die Herausforderung für die IT-Sicherheit

Der Missbrauch von Nezha stellt Unternehmen vor erhebliche Probleme. Da der erzeugte Datenverkehr normaler Monitoring-Telemetrie gleicht, verschmilzt er nahtlos mit dem üblichen Netzwerkrauschen.

“In Netzwerken, in denen dieses Server-Überwachungstool bereits bekannt ist, könnten Verteidigungsteams diese anomale Aktivität sogar übersehen”, warnt Dani.

Experten raten deshalb dringend, über signaturbasierte Erkennung hinauszugehen. Da die Datei-Hashes des Nezha-Agenten legitim sind, würde eine pauschale Blockierung legitime Administrationsaufgaben stören. Stattdessen muss die Abwehr auf Verhaltensanalyse setzen.

Wichtige Empfehlungen für Sicherheitsverantwortliche:
* Bestandsaufnahme: Führen Sie strenge Audits aller installierten Remote-Überwachungs- und Management-Tools (RMM) durch.
* Netzwerksegmentierung: Beschränken Sie ausgehenden Server-Datenverkehr auf bekannte, autorisierte Management-Netzwerke.
* Verhaltensüberwachung: Richten Sie Warnungen für die Installation neuer Dienste mit SYSTEM-Rechten ein, besonders wenn sie von Shell-Skripten gestartet werden.
* Verkehrsanalyse: Untersuchen Sie Netzwerkverbindungen zu unbekannten externen IP-Adressen, insbesondere zu Cloud-Anbietern wie Alibaba Cloud, wenn keine geschäftliche Notwendigkeit besteht.

Blick auf 2026: Die “Waffe Vertrauen”

Mit dem nahenden Jahr 2026 wird die “Instrumentalisierung von Vertrauen” zu einem dominierenden Thema der Cyberkriminalität werden. Der Erfolg der Nezha-Kampagne beweist: Angreifer müssen keine komplexe, eigene Malware mehr programmieren. Indem sie ein legales Tool einfach auf einen bösartigen Server umleiten, erreichen sie militärisch anmutende Fernsteuerung mit verbrauchertauglichem Aufwand.

Es ist zu erwarten, dass Bedrohungsakteure ihr Arsenal um weitere Open-Source-DevOps- und Monitoring-Tools erweitern. Die Last liegt nun bei den Sicherheitsanbietern, “kontextbewusste” Erkennung zu entwickeln. Diese muss unterscheiden können, ob ein Admin die Server-Gesundheit prüft oder ein Cyberkrimineller Daten abfließen lässt – ein Unterschied, der im Fall von Nezha immer unsichtbarer wird.

PS: Viele Mittelständler unterschätzen, wie unauffällige Tools dauerhaften Zugriff ermöglichen. Der Praxisleitfaden “Cyber Security Awareness Trends” liefert Checklisten, Prioritäten für kleine IT‑Teams und konkrete Sofortmaßnahmen gegen Living‑off‑the‑Land‑Angriffe — von Alarmregeln bis zur Absicherung von Admin‑Tools. Er zeigt außerdem, wie Sie wirkungsvolle Schutzmaßnahmen ohne teure Technologien umsetzen. Holen Sie sich den kostenlosen Report und setzen Sie die wichtigsten Schritte direkt um. Praxisleitfaden jetzt kostenlos anfordern