Китайские хакеры используют новый инструмент Nezha для скрытого контроля над серверами

Инцидент начался в августе 2025 года, когда злоумышленник воспользовался панелью управления phpMyAdmin, ошибочно выставленной в интернет без аутентификации. Эксплуатация уязвимости в конфигурации по умолчанию пакета XAMPP позволила применить технику отравления логов (log poisoning) для развертывания веб-шелла China Chopper. Анализ показал, что злоумышленник действовал с IP-адреса в Гонконге, размещенного в инфраструктуре Amazon, и сразу после доступа сменил язык интерфейса на упрощенный китайский.

Креативность атаки проявилась на этапе внедрения веб-шелла. Злоумышленник использовал функции СУБД MariaDB для перенаправления логов запросов в файл с расширением .php, размещенный в публичной директории веб-сервера. Это позволило скрыть бэкдор среди обычных записей логов. Команды выполнялись с интервалом в секунды, что свидетельствует о высоком уровне подготовки и вероятном многократном использовании аналогичной методики.

После получения первоначального доступа атакующий развернул инструмент Nezha - легитимную утилиту для мониторинга серверов с открытым исходным кодом. Хотя программа предназначена для административных задач, в данном случае она была использована для удаленного управления скомпрометированными системами. Агент Nezha загружался с домена rism.pages[.]dev, размещенного на Cloudflare, а его конфигурация указывала на сервер управления в Дублине.

Анализ панели управления Nezha выявил масштабы операции: под контролем злоумышленников находилось более 100 систем. География жертв демонстрирует четкую региональную направленность: наибольшее число зараженных систем обнаружено в Тайване (22), Японии (16), Южной Корее (10) и Гонконге (8). При этом в материковом Китае зафиксирована всего одна система, что может указывать на геополитический контекст атаки.

Финальным этапом атаки стало развертывание трояна Ghost RAT - вредоносной программы, ранее связанной с китайскими APT-группами. Перед установкой трояна злоумышленники использовали Nezha для создания исключений в Защитнике Windows, отключая сканирование системной директории. Анализ кода показал значительное совпадение с образцами, которые Zscaler в июне 2025 года связывала с targeting тибетских сообществ.

Расследование выявило связь с провайдером MoeDove LLC, зарегистрированным в апреле 2024 года. Его онлайн-присутствие вызывает вопросы: веб-сайт компании содержит неработающие ссылки и ранее ассоциировался с китайской RPG Genshin Impact. Домены, связанные с этой инфраструктурой, используют алгоритм генерации имен из шести цифр в зоне .xyz.

Этот инцидент демонстрирует растущую тенденцию злоумышленников к использованию легитимных инструментов с открытым исходным кодом. Такие программы обеспечивают низкую стоимость исследований, правдоподобное отрицание причастности по сравнению с кастомными вредоносами и часто остаются незамеченными системами безопасности. Nezha особенно привлекателен для атакующих благодаря легкому весу, открытой лицензии и функциональности удаленного управления.

Для защиты от подобных атак специалисты рекомендуют обеспечить своевременное обновление публичных веб-приложений, требовать аутентификацию для всех административных интерфейсов и применять жесткие настройки безопасности как в продуктивной среде, так и в тестовых окружениях. Критически важно отслеживать подозрительную активность, такую как создание сервисов, признаки наличия веб-шеллов и выполнение исполняемых файлов из нестандартных директорий.

Обнаруженная кампания подчеркивает важность постоянного мониторинга и проактивного поиска угроз, поскольку технически подготовленные противники продолжают совершенствовать методы сохранения доступа к скомпрометированным системам.

IPv4

• 172.245.52.169
• 45.207.220.12
• 54.46.50.255

Domains

• c.mid.al
• gd.bj2.xyz

URLs

• https://rism.pages.dev/microsoft.exe

SHA256

• 35e0b22139fb27d2c9721aedf5770d893423bf029e1f56be92485ff8fce210f3
• 7b2599ed54b72daec0acfd32744c7a9a77b19e6cf4e1651837175e4606dbc958
• 82611e60a2c5de23a1b976bb3b9a32c4427cb60a002e4c27cadfa84031d87999
• 9f33095a24471bed55ce11803e4ebbed5118bfb5d3861baf1c8214efcd9e7de6
• f3570bb6e0f9c695d48f89f043380b43831dd0f6fe79b16eda2a3ffd9fd7ad16

Mutex

• gd.bj2.xyz:53762:SQLlite