「Androxgh0st」もしくは「Androxghost」というマルウェアは、クラウドサービスのアクセス権情報窃取やペイロードの配布に特化した形態を持つ、一種のボットネットです。このマルウェアは.envファイルという、クレデンシャル情報を含んだファイルを狙い撃ち、構築されたボットネットでWebサーバーの脆弱性スキャンを行います。スキャン対象はPHPUnitやApacheHTTPServer、Laravelなどが含まれます。さらに、Androxgh0stはSMTPプロトコルの悪用、APIやクレデンシャルの悪用といった方法を通じてWebShellの配布をも実行します。
