Web sitesi sahiplerinin sunucularının sağlığını kontrol etmek için kullandığı popüler bir yazılım aracı, artık hackerlar tarafından bilgisayarlara tam kontrol sağlamak için kullanılıyor. Siber güvenlik firması Ontinue'daki araştırmacılar, Nezha adlı açık kaynaklı bir aracın Uzaktan Erişim Trojanı (RAT) olarak yeniden kullanıldığını keşfetti. Bu, dışarıdan birinin bir sisteme gizlice girmesine ve orada fark edilmeden kalmasına olanak tanıyor.

Görünmez Tehdit

Bilginiz olsun, Nezha başlangıçta IT topluluğu için yardımcı bir araç olarak tasarlandı ve GitHub'da neredeyse 10.000 yıldız aldı. Bir arabanın gösterge paneli gibi çalışarak, bir sunucunun ne kadar bellek kullandığını ve düzgün çalışıp çalışmadığını gösteriyor.

Binlerce profesyonel tarafından kullanılan meşru bir yazılım olduğu için, güvenlik uygulamaları genellikle bunu görmezden geliyor. Araştırmacılara göre, yazılım VirusTotal tarayıcısında 0/72 tespit gösteriyor. Kısacası, aslında kötü amaçlı yazılım değil; sadece hackerlar tarafından sömürülen normal bir araç.

Kutu İçinden Kullanıma Hazır

Yapılan araştırma, Nezha'nın kutudan çıktığı gibi tam özellikli olduğu için özellikle tehlikeli olduğunu ortaya koydu. Birçok hack aracının karmaşık kurulum gerektirdiği durumların aksine, Nezha kurulumdan hemen sonra çalışıyor ve bir saldırganın özel yükleri derlemesine veya birden fazla aracı birleştirmesine gerek kalmıyor. Cihazı ele geçirmek için tek durak noktasıdır.

Bu ajan aktif olduğunda, saldırgana en yüksek izin olan SYSTEM/root seviyesinde erişim sağlar. Bu güçle dosyaları yönetebilir, komutlar çalıştırabilir ve hatta sistemi gerçek zamanlı olarak izlemek için etkileşimli bir web terminali açabilir. Ayrıca, Windows ve Linux'tan macOS'a ve hatta ev internet yönlendiricilerine kadar neredeyse her şeyde çalışır. Bu geniş çapraz platform desteği, bir hackerın tek bir gösterge panelinden yüzlerce çalınmış cihazı yönetebilmesi anlamına geliyor.

Nezha'nın merkezi gösterge paneli, istemci-sunucu modelini gösteriyor (Kaynak: Ontinue)

Gizli Kalmak İçin Karışmak

Bildiğimiz gibi, çoğu hacker izlerini gizlemek için çok çalışmak zorundadır. Ancak, Nezha'nın yerleşik bir avantajı var: internet trafiği tamamen normal görünüyor. Araç, normal izleme telemetrisine benzeyen standart web protokollerini kullanarak iletişim kuruyor, bu da belirgin hack sinyallerinden uzak duruyor. Hedefi incelemeden, bu ağ aktivitesi hiç dikkat çekmiyor.

Nezha'nın yanlış ellerde ilk kez görülmesi değil. Ekim 2025'te, başka bir firma olan Huntress, Doğu Asya'daki organizasyonları hedef alan benzer saldırılar tespit etti, bunlar arasında Japonya ve Güney Kore de bulunuyordu.

Bu son olayda, Ontinue ekibi hackerların Basitleştirilmiş Çince mesajlar içeren bir komut dosyası kullandığını, bu durumun yerel bir konuşmacıyı işaret ettiğini belirtti. Ayrıca, hackerın komut merkezi Japonya'daki Alibaba Cloud hizmetlerinde barındırılıyordu.

Harita, Nezha bağlantılarının en aktif olduğu yerleri gösteriyor (Kaynak: Ontinue)

Güvende kalmak için uzmanlar, şirketlerin sistemlerinde Nezha'yı proaktif bir şekilde aramalarını öneriyor. Eğer IT departmanı tarafından resmi olarak onaylanmamışsa, varlığı büyük bir kırmızı bayraktır.

Uzmanlar Nezha Tehdidi Üzerine Görüşlerini Paylaşıyor

Hackread.com ile görüşlerini paylaşan sektör uzmanları, bu olayın dijital savaşta daha geniş bir trendin parçası olduğunu belirtti. Mayuresh Dani, Qualys Tehdit Araştırma Birimi'nde Güvenlik Araştırma Müdürü, bunun, saldırganların meşru yazılımları sistematik olarak kötüye kullanarak kalıcılık ve yan hareket elde etme stratejisini yansıttığını açıkladı.

Dani, Nezha'nın bu kadar yüksek düzeyde erişim sağlaması nedeniyle, saldırganların uzaktan komutları güvenilir bir şekilde yürütme ve dosyalara erişim sağlama süresini kısalttığını uyardı. Kuruluşların araçları ya kötü niyetli ya da zararsız olarak görmeyi bırakmaları ve bunun yerine kullanım kalıpları ve bağlama odaklanmaları gerektiğini vurguladı.

Buna ek olarak, John Gallagher, Viakoo'daki Viakoo Laboratuvarları Başkan Yardımcısı, durumun daha güçlü bir Derinlikte Savunma yaklaşımının çağrısı olduğunu belirtti. Nezha gibi ajan tabanlı araçların faydalı olduğunu, ancak doğrudan cihazda yaşadıkları için daha fazla risk taşıdıklarını vurguladı.

Gallagher, kim, ne ve neden üzerine daha fazla analiz yapılması gerektiğini ifade ederek, ABD'nin bu durumun en yaygın konumu olduğunu belirtmenin özellikle endişe verici olduğunu ekledi.