Selon Huntress (billet de blog), une campagne active depuis août 2025 cible des serveurs web exposant phpMyAdmin mal configuré, avec un enchaînement d’outils légitimes et de malwares menant au déploiement de Ghost RAT. Plus de 100 systèmes compromis ont été observés, majoritairement à Taïwan, au Japon, en Corée du Sud et à Hong Kong, suggérant un ciblage à motivations géopolitiques par un acteur Chine‑nexus.

L’intrusion commence par l’exploitation de phpMyAdmin sur XAMPP/MariaDB via injection SQL pour activer le « general query logging » et rediriger la sortie des logs vers un fichier PHP accessible depuis le web. Les attaquants injectent ensuite un web shell PHP (eval) dans les logs, ouvrant une porte dérobée pilotée via AntSword (terminal virtuel) — une technique d’empoisonnement des logs (log poisoning) et de log injection. 🐚

Depuis ce point d’appui, des commandes téléchargent l’agent de monitoring Nezha (live.exe) et sa configuration depuis rism.pages[.]dev, établissant une communication C2 avec c.mid[.]al. L’agent Nezha sert d’intermédiaire pour déployer Ghost RAT (x.exe), qui s’installe en trois étapes: 1) un loader utilisant un mécanisme d’exécution via gestionnaire d’exceptions, 2) un dropper qui inverse des octets embarqués et patche la configuration, 3) le payload final Ghost RAT avec C2 sur gd.bj2[.]xyz. Le malware assure sa persistance via un service mal orthographié “SQLlite”, emploie une résolution dynamique d’API, et ses structures de commandes correspondent à des campagnes APT chinoises précédemment rapportées. 🧿

Indicateurs de compromission (IOCs)

  • Domaines/Infra C2: rism.pages[.]dev, c.mid[.]al, gd.bj2[.]xyz
  • Fichiers: live.exe (agent Nezha), x.exe (Ghost RAT)
  • Persistance: service “SQLlite”
  • Outils: AntSword, Nezha, web shell PHP (eval)

Tactiques, techniques et procédures (TTPs)

  • Exploitation de phpMyAdmin mal configuré sur XAMPP/MariaDB via injection SQL
  • Log poisoning / log injection pour écrire un web shell PHP dans les fichiers de logs
  • Contrôle à distance via AntSword; utilisation d’un outil légitime (Nezha) pour C2 et relais
  • Chaîne multi‑étapes (loader → dropper → payload), résolution dynamique d’API, persistance par service mal nommé
  • Ciblage prioritaire en Asie de l’Est et attribution Chine‑nexus suggérée 🎯

Il s’agit d’une analyse de menace visant à documenter une chaîne d’attaque web sophistiquée, l’infrastructure C2 et les artefacts associés.

🧠 TTPs et IOCs détectés

TTPs

[‘Exploitation de phpMyAdmin mal configuré sur XAMPP/MariaDB via injection SQL’, ‘Log poisoning / log injection pour écrire un web shell PHP dans les fichiers de logs’, ‘Contrôle à distance via AntSword’, ‘Utilisation d’un outil légitime (Nezha) pour C2 et relais’, ‘Chaîne multi-étapes (loader → dropper → payload)’, ‘Résolution dynamique d’API’, ‘Persistance par service mal nommé’]

IOCs

{‘domain’: [‘rism.pages.dev’, ‘c.mid.al’, ‘gd.bj2.xyz’], ‘file’: [’live.exe’, ‘x.exe’], ‘persistence’: ‘service SQLlite’}

🔗 Source originale : https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool

🖴 Archive : https://web.archive.org/web/20251008161859/https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool