Các tác nhân đe dọa bị nghi có liên hệ với Trung Quốc đã biến công cụ giám sát mã nguồn mở hợp pháp tên là Nezha thành vũ khí tấn công, sử dụng nó để phát tán một loại mã độc Gh0st RAT đã biết đến các mục tiêu.
Hoạt động này, được công ty an ninh mạng Huntress phát hiện vào tháng 8 năm 2025, được đặc trưng bởi việc sử dụng kỹ thuật bất thường gọi là log poisoning (hay log injection) để cài đặt một web shell lên máy chủ web.
"Điều này cho phép tác nhân đe dọa kiểm soát máy chủ web bằng cách sử dụng ANTSWORD, trước khi triển khai Nezha, một công cụ vận hành và giám sát cho phép chạy các lệnh trên máy chủ web," các nhà nghiên cứu Jai Minton, James Northey và Alden Schmidt cho biết trong một báo cáo được chia sẻ với The Hacker News.
Tổng cộng, cuộc xâm nhập được cho là đã làm tổn hại hơn 100 máy nạn nhân, với phần lớn các trường hợp nhiễm mã độc được báo cáo ở Đài Loan, Nhật Bản, Hàn Quốc và Hồng Kông.
Chuỗi tấn công được Huntress tổng hợp cho thấy rằng các kẻ tấn công, được mô tả là "đối thủ có năng lực kỹ thuật cao", đã lợi dụng một bảng điều khiển phpMyAdmin dễ bị tổn thương và công khai để giành quyền truy cập ban đầu, sau đó đặt ngôn ngữ thành tiếng Trung giản thể.
Các tác nhân đe dọa sau đó được phát hiện đã truy cập giao diện truy vấn SQL của máy chủ và chạy nhiều lệnh SQL liên tiếp để thả một web shell PHP vào một thư mục có thể truy cập qua internet, sau khi đảm bảo rằng các truy vấn được ghi vào đĩa bằng cách bật tính năng ghi nhật ký truy vấn chung (general query logging).
"Sau đó, chúng đã đưa ra một truy vấn chứa một dòng web shell PHP của mình, khiến nó được ghi lại trong tệp nhật ký," Huntress giải thích. "Điều quan trọng là chúng đã đặt tên tệp nhật ký với phần mở rộng .php, cho phép nó được thực thi trực tiếp bằng cách gửi các yêu cầu POST đến máy chủ."
Quyền truy cập mà web shell ANTSWORD mang lại sau đó được sử dụng để chạy lệnh "whoami" nhằm xác định đặc quyền của máy chủ web và phát tán tác nhân Nezha mã nguồn mở, công cụ có thể được dùng để điều khiển máy chủ bị nhiễm từ xa bằng cách kết nối với một máy chủ bên ngoài ("c.mid[.]al").
Một khía cạnh thú vị của cuộc tấn công là tác nhân đe dọa đứng sau hoạt động này đã chạy bảng điều khiển Nezha của họ bằng tiếng Nga, với hơn 100 nạn nhân được liệt kê trên toàn thế giới. Một lượng nhỏ hơn các nạn nhân nằm rải rác ở Singapore, Malaysia, Ấn Độ, Vương quốc Anh, Hoa Kỳ, Colombia, Lào, Thái Lan, Úc, Indonesia, Pháp, Canada, Argentina, Sri Lanka, Philippines, Ireland, Kenya và Ma Cao, cùng nhiều nơi khác.
Tác nhân Nezha cho phép giai đoạn tiếp theo của chuỗi tấn công, tạo điều kiện thuận lợi cho việc thực thi một script PowerShell tương tác để tạo các ngoại lệ cho Microsoft Defender Antivirus và khởi chạy Gh0st RAT, một malware được các nhóm tin tặc Trung Quốc sử dụng rộng rãi. Mã độc này được thực thi thông qua một loader, sau đó chạy một dropper chịu trách nhiệm cấu hình và khởi động payload chính.
"Hoạt động này cho thấy cách các kẻ tấn công ngày càng lạm dụng các công cụ công khai mới và đang nổi lên ngay khi chúng có sẵn để đạt được mục tiêu của mình," các nhà nghiên cứu cho biết.
"Do đó, đây là một lời nhắc nhở rõ ràng rằng trong khi các công cụ công khai có thể được sử dụng cho các mục đích hợp pháp, chúng cũng thường bị các tác nhân đe dọa lạm dụng do chi phí nghiên cứu thấp, khả năng cung cấp sự phủ nhận hợp lý so với mã độc tùy chỉnh và khả năng không bị phát hiện bởi các sản phẩm bảo mật."
