رصدت شركة Huntress في أغسطس 2025 نشاطًا لجهات تهديد يُشتبه في ارتباطها بالصين، استغلت أداة مراقبة مشروعة مفتوحة المصدر تُدعى Nezha كمنصة لشن هجمات، مستخدمةً تقنية غير معتادة تُعرف بـتسميم السجلات (log poisoning / log injection) لزرع قشرة ويب (web shell) ثم نشر برنامج التجسس Gh0st RAT على الأجهزة المستهدفة.
سلسلة الهجوم: من phpMyAdmin إلى قشرة ANTSWORD ثم Nezha
تفاصيل الهجوم توضح أن المهاجمين — الذين وصفتهم Huntress بأنهم “خصم تقني بارع” — حصلوا على وصول أولي عبر لوح phpMyAdmin مكشوف ومعرَّض للثغرات، ثم غيّروا إعداد اللغة إلى الصينية المبسطة. بعد ذلك استغلوا واجهة استعلام SQL لتشغيل أوامر سريعة متتالية تهدف إلى إسقاط قشرة PHP في دليل يمكن الوصول إليه عبر الإنترنت، مع التأكد من تسجيل الاستعلامات على القرص عبر تمكين الـ general query logging.
أصدرت الجهة المهاجمة استعلامًا احتوى على سطر واحد من قشرة PHP، وجعلت اسم ملف السجل ينتهي بلاحقة .php، ما سمح بتنفيذ الملف مباشرةً عبر إرسال طلبات POST إلى الخادم. بعد ذلك استُخدمت قشرة ANTSWORD لإجراء أوامر استقصائية مثل whoami لتحديد امتيازات الخادم، ثم تم تسليم عميل Nezha مفتوح المصدر للتحكم عن بُعد.
نشر Gh0st RAT عبر Nezha: آلية التنفيذ والتوزيع الجغرافي
أظهرت عملية ما بعد الاختراق أن عميل Nezha ارتبط بخادم خارجي بعنوان مضارب مشفر جزئيًا (“c.mid[.]al”)، ما مكّن المهاجم من السيطرة التفاعلية على الأجهزة المصابة. سمحت هذه السيطرة بتشغيل سكربت PowerShell تفاعلي لإنشاء استثناءات في Microsoft Defender Antivirus، ثم إطلاق Gh0st RAT عبر محمل (loader) ينسخ بدَّالة (dropper) تُهيئ وتطلق الحمولة الرئيسية.
تقول Huntress إن الحملة قد أسفرت على الأرجح عن إصابة أكثر من 100 جهاز، مع تركيز أكبر للإصابات في تايوان، واليابان، وكوريا الجنوبية، وهونغ كونغ. كما رُصدت إصابات أقل توزّعًا في دول عدة منها سنغافورة وماليزيا والهند والمملكة المتحدة والولايات المتحدة وكولومبيا ولاوس وتايلاند وأستراليا وإندونيسيا وفرنسا وكندا والأرجنتين وسريلانكا والفلبين وإيرلندا وكينيا وماكاو.
التهديد التكتيكي: لماذا تُفضّل الجهات الخبيثة أدوات مفتوحة المصدر؟
أبرز الباحثون أن استخدام أدوات عامة ومنشورة علنًا مثل Nezha يمنح المهاجمين تكلفة بحث منخفضة وقدرة على التنصل Plausible Deniability مقارنةً بالبرمجيات الخبيثة المخصّصة، كما تزيد احتمالية مرورها دون كشف من قبل حلول الأمن لأنها تبدو شرعية. وقد لفت الباحثون الانتباه إلى أن لوحة تحكم Nezha التي استخدمها المهاجم ظاهرتٍ باللغة الروسية، وسردت أكثر من 100 ضحية عليها.
وذكّرت Huntress بأن هذا النمط من الاستغلال — تحويل أدوات تشغيلية ومراقبة شرعية إلى منصات هجوم — يعكس تهديدًا متصاعدًا مع توافر أدوات جديدة، وأن الاعتماد على أدوات علنية لا يقتصر على المشروعية بل يُستغل بسرعة من قبل الجهات الخبيثة لتحقيق أهدافها.
