Les pirates ont utilisé l’empoisonnement des journaux et des web shells pour convertir Nezha en un outil d’accès à distance ciblant les réseaux de toute l’Asie de l’Est.
Des pirates informatiques affiliés à la Chine ont discrètement transformé un outil de surveillance de réseau open source autrefois inoffensif en une balise d’accès à distance.
Selon de nouvelles découvertes de la société de cybersécurité Huntress, les attaquants ont utilisé l’empoisonnement des journaux et un shell Web pour installer Nezha, un outil légitime de surveillance/gestion à distance (RMM), comme point d’appui pour déployer Ghost RAT pour une persistance plus profonde.
La campagne, détectée pour la première fois en août 2025, ciblait principalement des victimes de Taïwan, du Japon, de Corée du Sud et de Hong Kong.
Se faufiler grâce à un empoisonnement aux bûches
L’entrée de l’adversaire a commencé via une interface « phpMyAdmin » exposée qui manquait d’authentification. Un changement de DNS quelques mois plus tôt l’avait rendu accessible au public par inadvertance, ont ajouté les chercheurs. Une fois à l’intérieur, ils ont changé la langue de l’interface en chinois simplifié et ont immédiatement commencé à émettre des commandes SQL via l’interface de requête.
Ils ont ensuite abusé de la journalisation générale des requêtes de MariaDB, en la reconfigurant pour écrire les journaux dans un fichier .php dans le répertoire Web. En effet, ils ont transformé le fichier journal lui-même en un shell Web : les requêtes SQL contenant du code PHP étaient enregistrées puis exécutées lors d’un accès via HTTP POST. Le code PHP reflétait un shell Web d’évaluation de base, communément appelé shell Web China Chopper.
Cette technique de « Log Poisoning » a permis aux attaquants de cacher la porte dérobée au milieu du trafic normal. Après avoir validé le shell, ils sont passés à une adresse IP différente, susceptible de compartimenter leurs opérations, et ont commencé à émettre des commandes via le terminal virtuel d’AntSword.
AntSword est un framework de gestion de shell Web chinois open source (essentiellement un panneau de contrôle graphique) permettant aux pirates informatiques de gérer les serveurs Web compromis. Dans ce cas, il a fonctionné comme une station de commande pour interagir avec le China Chopper implanté à porte dérobée.
Monter Nezha vers Ghost RAT
Une fois le shell Web en place, les attaquants ont utilisé AntSword pour télécharger deux composants : « live.exe » (l’agent Nezha) et un « config.yml » qui pointait vers le domaine contrôlé par l’attaquant. L’agent Nezha s’est reconnecté à un serveur de gestion dont le tableau de bord fonctionnait en russe, probablement pour annuler l’attribution.
Une fois Nezha actif, les attaquants ont exécuté une session PowerShell interactive pour créer des exclusions Windows Defender sur les dossiers système clés. Cela leur a permis de supprimer et d’exécuter une variante de Ghost RAT à partir de « C:WindowsCursors ». L’exécutable RAT a également installé un mécanisme de persistance et utilisé un algorithme de génération de domaine (DGA) pour la commande et le contrôle (C2).
L’analyse de Huntress a montré que l’implant Ghost RAT était doté d’un chargeur à plusieurs étages, d’une résolution API dynamique et de blocs de commande cohérents avec les activités APT liées au lien chinois. L’équipe a réussi à contenir l’incident d’août 2025 avant que les attaquants ne puissent causer des dégâts importants.
« Heureusement, Huntress a pu isoler le système et remédier à l’incident en supprimant le shell Web, l’agent Nezha et les logiciels malveillants avant que l’attaquant ne puisse poursuivre ses objectifs », ont ajouté les chercheurs. Huntress a publié un ensemble d’indicateurs de compromission (IOC) liés à l’intrusion, notamment le nom du fichier et le chemin du shell Web, de l’agent Nezha et de la charge utile Ghost RAT. Cet incident s’inscrit dans un schéma plus large de 2025 dans lequel des acteurs malveillants abusent des outils d’administration et de surveillance légitimes pour persister sur les réseaux.
Plus tôt cette année, Symantec (Broadcom) a signalé que les opérateurs du ransomware Fog utilisaient le logiciel de surveillance des employés Syteca aux côtés d’autres outils de test d’intrusion open source comme GC2 et Adaptix. Le mois dernier, des chercheurs ont également signalé un outil d’équipe rouge, « Villager », d’une entreprise chinoise obscure qui, selon eux, était prêt à être utilisé par les pirates informatiques.
