Campagne Chine‑nexus exploitant phpMyAdmin (log poisoning) pour déployer Ghost RAT via AntSword et Nezha
Selon Huntress (billet de blog), une campagne active depuis août 2025 cible des serveurs web exposant phpMyAdmin mal configuré, avec un enchaînement d’outils légitimes et de malwares menant au déploiement de Ghost RAT. Plus de 100 systèmes compromis ont été observés, majoritairement à Taïwan, au Japon, en Corée du Sud et à Hong Kong, suggérant un ciblage à motivations géopolitiques par un acteur Chine‑nexus. L’intrusion commence par l’exploitation de phpMyAdmin sur XAMPP/MariaDB via injection SQL pour activer le « general query logging » et rediriger la sortie des logs vers un fichier PHP accessible depuis le web. Les attaquants injectent ensuite un web shell PHP (eval) dans les logs, ouvrant une porte dérobée pilotée via AntSword (terminal virtuel) — une technique d’empoisonnement des logs (log poisoning) et de log injection. 🐚 ...