Ευπάθεια React2Shell
Ερευνητές ασφαλείας επιβεβαίωσαν ότι η κρίσιμη ευπάθεια, γνωστή ως React2Shell, γίνεται αντικείμενο ενεργής κατάχρησης από πολλαπλούς απειλητικούς παράγοντες για να θέσουν σε κίνδυνο συστήματα που βασίζονται σε Linux. Το ελάττωμα αξιοποιείται για την ανάπτυξη αρκετών οικογενειών κακόβουλου λογισμικού, κυρίως των KSwapDoor και ZnDoor, επιτρέποντας την βαθιά και μόνιμη πρόσβαση σε επηρεαζόμενα περιβάλλοντα. Η συνεχιζόμενη εκμετάλλευση υπογραμμίζει πόσο γρήγορα τίθενται σε λειτουργία τα ελαττώματα εφαρμογών με υψηλό αντίκτυπο μόλις αποκαλυφθούν.
Πίνακας περιεχομένων
KSwapDoor: Ένα κρυφό backdoor Linux
Το KSwapDoor είναι ένα προσεκτικά σχεδιασμένο εργαλείο απομακρυσμένης πρόσβασης, κατασκευασμένο ώστε να παραμένει κρυφό για μεγάλα χρονικά διαστήματα. Δημιουργεί ένα εσωτερικό δίκτυο mesh που επιτρέπει στους μολυσμένους διακομιστές να επικοινωνούν μεταξύ τους, βοηθώντας τους εισβολείς να παρακάμπτουν τις περιμετρικές άμυνες και να διατηρούν ανθεκτικότητα σε περίπτωση αποκλεισμού μεμονωμένων κόμβων. Η κίνηση δικτύου του προστατεύεται με ισχυρή κρυπτογράφηση, γεγονός που καθιστά την επιθεώρηση και την ανίχνευση σημαντικά πιο δύσκολες. Μία από τις πιο ανησυχητικές δυνατότητές του είναι η αδρανή ή «υπνηλιακή» κατάσταση, η οποία επιτρέπει στο κακόβουλο λογισμικό να παραμένει ανενεργό μέχρι να λάβει μια μυστική ενεργοποίηση που το επανενεργοποιεί, παρακάμπτοντας ουσιαστικά τα στοιχεία ελέγχου του τείχους προστασίας.
Οι ερευνητές διευκρίνισαν ότι το KSwapDoor είχε προηγουμένως αναγνωριστεί λανθασμένα ως BPFDoor. Στην πραγματικότητα, πρόκειται για ένα backdoor Linux που υποστηρίζει διαδραστική πρόσβαση σε shell, αυθαίρετη εκτέλεση εντολών, χειρισμό αρχείων και σάρωση για ευκαιρίες πλευρικής κίνησης. Για να ενσωματωθεί περαιτέρω, μεταμφιέζεται σε ένα νόμιμο daemon ανταλλαγής πυρήνα Linux, μειώνοντας την πιθανότητα να εγείρει υποψίες κατά την τακτική παρακολούθηση του συστήματος.
Καμπάνιες ZnDoor που στοχεύουν σε Ιαπωνικούς Οργανισμούς
Παράλληλα, οργανισμοί στην Ιαπωνία έχουν στοχοποιηθεί με επιθέσεις που εκμεταλλεύονται το React2Shell για την παροχή του ZnDoor. Αυτό το trojan απομακρυσμένης πρόσβασης έχει παρατηρηθεί σε πραγματικές δραστηριότητες τουλάχιστον από τον Δεκέμβριο του 2023. Αυτές οι εισβολές συνήθως ξεκινούν με μια απλή εντολή bash που ανακτά το ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή στη διεύθυνση 45.76.155.14 χρησιμοποιώντας το wget και στη συνέχεια το εκτελεί τοπικά.
Μόλις εγκατασταθεί, το ZnDoor συνδέεται ξανά με την υποδομή που ελέγχεται από εισβολείς για να λαμβάνει οδηγίες και να ενεργεί βάσει αυτών. Η λειτουργικότητά του είναι ευρεία και επιτρέπει τον πλήρη έλεγχο του παραβιασμένου κεντρικού υπολογιστή, όπως φαίνεται από το υποστηριζόμενο σύνολο εντολών παρακάτω:
- shell και interactive_shell για άμεση εκτέλεση εντολών και διαδραστική πρόσβαση
- explorer, explorer_cat, explorer_delete, explorer_upload και explorer_download για λειτουργίες αρχείων και καταλόγων
- σύστημα συλλογής πληροφοριών κεντρικού υπολογιστή
- change_timefile για να αλλάξετε τις χρονικές σημάνσεις αρχείων
- socket_quick_startstreams για την εκκίνηση ενός proxy SOCKS5
- start_in_port_forward και stop_in_port για τη διαχείριση της προώθησης θυρών
CVE-2025-55182 και Οπλοχρησία σε Πολλαπλές Ομάδες
Η ευρύτερη δραστηριότητα συμπίπτει με την εκτεταμένη εκμετάλλευση του CVE-2025-55182, μιας ευπάθειας React2Shell στην οποία έχει αποδοθεί μέγιστη βαθμολογία CVSS 10,0. Τουλάχιστον πέντε ομάδες απειλών που ευθυγραμμίζονται με την Κίνα έχουν παρατηρηθεί να χρησιμοποιούν αυτό το ελάττωμα ως όπλο για να διανέμουν ένα ευρύ φάσμα ωφέλιμων φορτίων, συμπεριλαμβανομένων εργαλείων tunneling, downloaders και πολλαπλών backdoors Linux. Μεταξύ αυτών ήταν τα MINOCAT, SNOWLIGHT, COMPOOD, μια ενημερωμένη παραλλαγή HISONIC που ενσωματώνεται σε νόμιμη κίνηση χρησιμοποιώντας Cloudflare Pages και GitLab, και μια έκδοση Linux του ANGRYREBEL, γνωστή και ως Noodle RAT.
Κατάχρηση μετά την εκμετάλλευση και ποικιλομορφία ωφέλιμου φορτίου
Αφού επιτύχουν την αρχική εκτέλεση κώδικα, οι εισβολείς συνήθως εκτελούν αυθαίρετες εντολές για να εμβαθύνουν στην εμβέλειά τους. Αυτό περιλαμβάνει τη δημιουργία αντίστροφων κελυφών σε γνωστή υποδομή Cobalt Strike, την ανάπτυξη εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης όπως το MeshAgent, την τροποποίηση του αρχείου authorized_keys και την ενεργοποίηση άμεσων συνδέσεων root. Πρόσθετα ωφέλιμα φορτία που παρατηρούνται κατά τη διάρκεια αυτών των λειτουργιών περιλαμβάνουν τα VShell, EtherRAT, ShadowPad, XMRig και επαναλαμβανόμενες αναπτύξεις του SNOWLIGHT.
Για να αποφύγουν τον εντοπισμό, οι εκστρατείες συχνά βασίζονται σε τερματικά σημεία Cloudflare Tunnel κάτω από τον τομέα trycloudflare.com, επιτρέποντας στην κίνηση εντολών και ελέγχου να αναμειχθεί με νόμιμες υπηρεσίες. Στη συνέχεια, πραγματοποιείται εκτεταμένη αναγνώριση για τη χαρτογράφηση του περιβάλλοντος, την υποστήριξη πλευρικής κίνησης και τον εντοπισμό πολύτιμων διαπιστευτηρίων.
Συλλογή διαπιστευτηρίων cloud και μυστική ανακάλυψη
Ένα σημαντικό σημείο εστίασης αυτών των επιθέσεων είναι η κλοπή διαπιστευτηρίων σε περιβάλλοντα cloud. Έχουν παρατηρηθεί απειλητικοί παράγοντες να υποβάλλουν ερωτήματα σε υπηρεσίες μεταδεδομένων στιγμιότυπων για Azure, AWS, Google Cloud Platform και Tencent Cloud σε μια προσπάθεια να αποκτήσουν διακριτικά ταυτότητας και να επεκτείνουν την πρόσβασή τους. Επίσης, αναπτύσσουν εργαλεία μυστικής σάρωσης όπως το TruffleHog και το Gitleaks, μαζί με προσαρμοσμένα σενάρια, για την εξαγωγή ευαίσθητου υλικού. Αυτό περιλαμβάνει προσπάθειες κλοπής διαπιστευτηρίων τεχνητής νοημοσύνης και cloud-native, όπως κλειδιά OpenAI API, διακριτικά Databricks, μυστικά λογαριασμού υπηρεσίας Kubernetes και διακριτικά πρόσβασης που αποκτώνται μέσω εργαλείων Azure CLI και Azure Developer CLI.
Εκμετάλλευση Next.js και εξαγωγή δεδομένων
Σε μια σχετική εκστρατεία, οι ερευνητές κατέγραψαν την εκμετάλλευση πολλαπλών ελαττωμάτων του Next.js, συμπεριλαμβανομένων των CVE-2025-29927 και CVE-2025-66478, με το τελευταίο να είναι ένα προηγούμενο αναγνωριστικό για το ίδιο πρόβλημα React2Shell. Αυτές οι επιθέσεις επικεντρώθηκαν στη συστηματική εξαγωγή αρχείων διαμόρφωσης, μεταβλητών περιβάλλοντος, κλειδιών SSH, διαπιστευτηρίων cloud, δεδομένων ελέγχου ταυτότητας Git, ιστορικού εντολών shell και ευαίσθητων αρχείων συστήματος όπως passwd και shadow. Το κακόβουλο λογισμικό δημιουργεί επίσης persistence, εγκαθιστά ένα SOCKS5 proxy, ανοίγει ένα reverse shell στο 67.217.57.240 στη θύρα 888 και αναπτύσσει ένα σαρωτή React για αναζήτηση στο διαδίκτυο για πρόσθετους ευάλωτους στόχους.
Επιχείρηση PCPcat: Κλίμακα και Αντίκτυπος
Η συνδυασμένη δραστηριότητα, που παρακολουθείται με την ονομασία Operation PCPcat, πιστεύεται ότι έχει ήδη θέσει σε κίνδυνο 59.128 διακομιστές. Οι αναλυτές αξιολογούν την εκστρατεία ως ενδεικτική της μεγάλης κλίμακας συλλογής πληροφοριών και της βιομηχανοποιημένης κλοπής δεδομένων. Οι τρέχουσες μετρήσεις υποδηλώνουν ότι περισσότερες από 111.000 διευθύνσεις IP παραμένουν ευάλωτες στην εκμετάλλευση του React2Shell, με την υψηλότερη συγκέντρωση στις Ηνωμένες Πολιτείες, ακολουθούμενες από τη Γερμανία, τη Γαλλία και την Ινδία. Η τηλεμετρία που συλλέχθηκε δείχνει περαιτέρω ότι εκατοντάδες κακόβουλες διευθύνσεις IP σε περιοχές όπως οι ΗΠΑ, η Ινδία, το Ηνωμένο Βασίλειο, η Σιγκαπούρη και η Ολλανδία έχουν συμμετάσχει ενεργά σε απόπειρες εκμετάλλευσης εντός μίας μόνο 24ωρης περιόδου.
