Bedreigingsactoren met vermoedelijke banden met China hebben een legitieme open-source monitoringtool genaamd Nezja in een aanvalswapen en gebruikt het om bekende malware genaamd Gh0st RAT naar doelen te sturen.
De activiteit, waargenomen door cyberbeveiligingsbedrijf Huntress in augustus 2025, wordt gekenmerkt door het gebruik van een ongebruikelijke techniek genaamd logvergiftiging (ook wel log-injectie genoemd) om een webshell op een webserver te plaatsen.
“Hierdoor kon de bedreigingsacteur de webserver controleren met behulp van ANTSWORD, voordat hij uiteindelijk Nezha inzette, een bedienings- en monitoringtool waarmee opdrachten op een webserver kunnen worden uitgevoerd”, aldus onderzoekers Jai Minton, James Northey en Alden Schmidt in een rapport gedeeld met The Hacker News.
In totaal zou de inbraak waarschijnlijk meer dan 100 slachtoffermachines hebben aangetast, waarbij het merendeel van de infecties is gemeld in Taiwan, Japan, Zuid-Korea en Hong Kong.
Uit de door Huntress samengestelde aanvalsketen blijkt dat de aanvallers, omschreven als een ‘technisch bekwame tegenstander’, gebruik maakten van een openbaar toegankelijk en kwetsbaar phpMyAdmin-paneel om aanvankelijke toegang te verkrijgen, en vervolgens de taal instelden op vereenvoudigd Chinees.
Vervolgens is gebleken dat de bedreigingsactoren toegang hebben tot de SQL-queryinterface van de server en verschillende SQL-commando’s snel achter elkaar uitvoeren om een PHP-webshell in een map te plaatsen die toegankelijk is via internet, nadat ze ervoor hebben gezorgd dat de query’s op schijf zijn geregistreerd door algemene query-logboekregistratie in te schakelen.
“Ze gaven vervolgens een query uit met daarin hun one-liner PHP-webshell, waardoor deze in het logbestand werd vastgelegd”, legt Huntress uit. “Cruciaal is dat ze de naam van het logbestand hebben ingesteld met de extensie .php, waardoor het direct kan worden uitgevoerd door POST-verzoeken naar de server te sturen.”
De toegang die wordt geboden door de ANTSWORD-webshell wordt vervolgens gebruikt om de opdracht “whoami” uit te voeren om de rechten van de webserver te bepalen en de open-source Nezha-agent te leveren, die kan worden gebruikt om op afstand beslag te leggen op een geïnfecteerde host door verbinding te maken met een externe server (“c.mid(.)al”).
Een interessant aspect van de aanval is dat de dreigingsactor achter de operatie zijn Nezha-dashboard in het Russisch heeft uitgevoerd, met meer dan 100 slachtoffers over de hele wereld. Een kleinere concentratie slachtoffers is verspreid over onder meer Singapore, Maleisië, India, Groot-Brittannië, de VS, Colombia, Laos, Thailand, Australië, Indonesië, Frankrijk, Canada, Argentinië, Sri Lanka, de Filippijnen, Ierland, Kenia en Macau.
De Nezha-agent maakt de volgende fase van de aanvalsketen mogelijk en vergemakkelijkt de uitvoering van een interactief PowerShell-script om Microsoft Defender Antivirus-uitsluitingen te creëren en Gh0st RAT te lanceren, een malware die veel wordt gebruikt door Chinese hackgroepen. De malware wordt uitgevoerd door middel van een lader die op zijn beurt een dropper uitvoert die verantwoordelijk is voor het configureren en starten van de hoofdlading.
“Deze activiteit laat zien hoe aanvallers steeds meer misbruik maken van nieuwe en opkomende publiekelijk beschikbare tools zodra deze beschikbaar komen om hun doelen te bereiken”, aldus de onderzoekers.
“Hierdoor is het een duidelijke herinnering dat, hoewel openbaar beschikbare tools voor legitieme doeleinden kunnen worden gebruikt, deze ook vaak worden misbruikt door bedreigingsactoren vanwege de lage onderzoekskosten, het vermogen om plausibele ontkenning te bieden in vergelijking met op maat gemaakte malware, en de kans dat ze niet worden opgemerkt door beveiligingsproducten.”
