آسیب‌پذیری React2Shell

محققان امنیتی تأیید کرده‌اند که آسیب‌پذیری بحرانی معروف به React2Shell به‌طور فعال توسط چندین عامل تهدید برای به خطر انداختن سیستم‌های مبتنی بر لینوکس مورد سوءاستفاده قرار می‌گیرد. این نقص برای استقرار چندین خانواده بدافزار، به‌ویژه KSwapDoor و ZnDoor، مورد استفاده قرار می‌گیرد و امکان دسترسی عمیق و مداوم به محیط‌های آسیب‌دیده را فراهم می‌کند. این بهره‌برداری مداوم نشان می‌دهد که نقص‌های برنامه با تأثیر بالا پس از افشا چقدر سریع عملیاتی می‌شوند.

KSwapDoor: یک بک‌دور لینوکسی با تمرکز بر مخفی‌کاری

KSwapDoor یک ابزار دسترسی از راه دور با مهندسی دقیق است که برای مدت طولانی پنهان می‌ماند. این ابزار یک شبکه مش داخلی ایجاد می‌کند که به سرورهای آلوده اجازه می‌دهد با یکدیگر ارتباط برقرار کنند و به مهاجمان کمک می‌کند تا در صورت مسدود شدن گره‌های منفرد، از دفاع‌های محیطی عبور کرده و انعطاف‌پذیری خود را حفظ کنند. ترافیک شبکه آن با رمزگذاری قوی محافظت می‌شود و بازرسی و تشخیص را به طور قابل توجهی دشوارتر می‌کند. یکی از نگران‌کننده‌ترین قابلیت‌های آن، حالت خفته یا «خواب» است که به بدافزار اجازه می‌دهد تا زمانی که یک محرک پنهانی دریافت کند که آن را دوباره فعال می‌کند، غیرفعال بماند و در واقع کنترل‌های فایروال را دور بزند.

محققان توضیح دادند که KSwapDoor قبلاً به اشتباه BPFDoor شناسایی شده بود. در واقع، این یک در پشتی لینوکس است که از دسترسی تعاملی به پوسته، اجرای دستورات دلخواه، دستکاری فایل و اسکن فرصت‌های حرکت جانبی پشتیبانی می‌کند. برای اینکه بیشتر با این موضوع ترکیب شود، خود را به عنوان یک سرویس مبادله هسته لینوکس مشروع جا می‌زند و احتمال ایجاد سوءظن در طول نظارت معمول سیستم را کاهش می‌دهد.

کمپین‌های ZnDoor سازمان‌های ژاپنی را هدف قرار می‌دهند

به موازات آن، سازمان‌هایی در ژاپن با حملاتی که از React2Shell برای ارائه ZnDoor سوءاستفاده می‌کنند، هدف قرار گرفته‌اند. این تروجان دسترسی از راه دور حداقل از دسامبر 2023 در فعالیت‌های دنیای واقعی مشاهده شده است. این نفوذها معمولاً با یک دستور bash ساده آغاز می‌شوند که با استفاده از wget، payload را از یک سرور از راه دور در آدرس 45.76.155.14 بازیابی کرده و سپس آن را به صورت محلی اجرا می‌کند.

پس از نصب، ZnDoor برای دریافت دستورالعمل‌ها و اقدام بر اساس آنها، به زیرساخت تحت کنترل مهاجم متصل می‌شود. عملکرد آن گسترده است و امکان کنترل کامل بر میزبان آسیب‌دیده را فراهم می‌کند، همانطور که در مجموعه دستورات پشتیبانی شده در زیر نشان داده شده است:

• shell و interactive_shell برای اجرای مستقیم دستور و دسترسی تعاملی
• explorer، explorer_cat، explorer_delete، explorer_upload و explorer_download برای عملیات فایل و دایرکتوری
• سیستم جمع‌آوری اطلاعات میزبان
• ‎change_timefile‎ برای تغییر مهر زمانی فایل
• socket_quick_startstreams برای اجرای پروکسی SOCKS5
• start_in_port_forward و stop_in_port برای مدیریت فوروارد کردن پورت

CVE-2025-55182 و سلاح‌سازی چندگروهی

این فعالیت گسترده‌تر با سوءاستفاده گسترده از آسیب‌پذیری CVE-2025-55182، یک آسیب‌پذیری React2Shell که حداکثر امتیاز CVSS آن 10.0 است، همزمان شده است. مشاهده شده است که حداقل پنج گروه تهدید مرتبط با چین از این نقص برای توزیع طیف متنوعی از پیلودها، از جمله ابزارهای تونل‌زنی، دانلودکننده‌ها و چندین درب پشتی لینوکس، استفاده می‌کنند. در میان این گروه‌ها می‌توان به MINOCAT، SNOWLIGHT، COMPOOD، یک نوع به‌روزرسانی‌شده HISONIC که با استفاده از Cloudflare Pages و GitLab با ترافیک قانونی ترکیب می‌شود، و یک نسخه لینوکس از ANGRYREBEL که با نام Noodle RAT نیز شناخته می‌شود، اشاره کرد.

سوءاستفاده پس از بهره‌برداری و تنوع بار داده

پس از اجرای اولیه کد، مهاجمان معمولاً دستورات دلخواه را برای تقویت جای پای خود اجرا می‌کنند. این شامل ایجاد پوسته‌های معکوس در زیرساخت شناخته‌شده Cobalt Strike، استقرار ابزارهای نظارت و مدیریت از راه دور مانند MeshAgent، تغییر فایل authorized_keys و فعال کردن ورود مستقیم به سیستم ریشه است. بارهای داده اضافی مشاهده شده در طول این عملیات شامل VShell، EtherRAT، ShadowPad، XMRig و استقرار مکرر SNOWLIGHT است.

برای جلوگیری از شناسایی، این کمپین‌ها اغلب به نقاط پایانی تونل کلودفلر تحت دامنه trycloudflare.com متکی هستند و به ترافیک فرمان و کنترل اجازه می‌دهند تا با سرویس‌های قانونی ترکیب شوند. سپس شناسایی گسترده‌ای برای نقشه‌برداری از محیط، پشتیبانی از حرکات جانبی و شناسایی اعتبارنامه‌های ارزشمند انجام می‌شود.

برداشت اعتبارنامه ابری و کشف راز

تمرکز اصلی این حملات، سرقت اطلاعات احراز هویت در محیط‌های ابری است. مشاهده شده است که عاملان تهدید، سرویس‌های ابرداده نمونه Azure، AWS، Google Cloud Platform و Tencent Cloud را برای به دست آوردن توکن‌های هویت و گسترش دسترسی خود، مورد پرس و جو قرار می‌دهند. آنها همچنین از ابزارهای اسکن مخفی مانند TruffleHog و Gitleaks، در کنار اسکریپت‌های سفارشی، برای استخراج اطلاعات حساس استفاده می‌کنند. این شامل تلاش برای سرقت اطلاعات احراز هویت هوش مصنوعی و بومی ابر مانند کلیدهای OpenAI API، توکن‌های Databricks، اسرار حساب‌های سرویس Kubernetes و توکن‌های دسترسی به دست آمده از طریق Azure CLI و ابزار Azure Developer CLI می‌شود.

بهره‌برداری و استخراج داده‌ها در Next.js

در یک کمپین مرتبط، محققان سوءاستفاده از چندین نقص Next.js، از جمله CVE-2025-29927 و CVE-2025-66478 را مستند کردند که دومی یک شناسه قبلی برای همان مشکل React2Shell است. این حملات بر استخراج سیستماتیک فایل‌های پیکربندی، متغیرهای محیطی، کلیدهای SSH، اعتبارنامه‌های ابری، داده‌های احراز هویت Git، تاریخچه دستورات shell و فایل‌های حساس سیستم مانند passwd و shadow متمرکز بودند. این بدافزار همچنین پایداری ایجاد می‌کند، یک پروکسی SOCKS5 نصب می‌کند، یک shell معکوس به 67.217.57.240 روی پورت 888 باز می‌کند و یک اسکنر React را برای جستجوی اهداف آسیب‌پذیر بیشتر در اینترنت مستقر می‌کند.

عملیات PCPcat: مقیاس و تأثیر

اعتقاد بر این است که این فعالیت ترکیبی که تحت نام Operation PCPcat ردیابی می‌شود، تاکنون ۵۹,۱۲۸ سرور را به خطر انداخته است. تحلیلگران این کمپین را نشانه‌ای از جمع‌آوری اطلاعات در مقیاس بزرگ و استخراج داده‌های صنعتی ارزیابی می‌کنند. اندازه‌گیری‌های فعلی نشان می‌دهد که بیش از ۱۱۱,۰۰۰ آدرس IP همچنان در برابر بهره‌برداری از React2Shell آسیب‌پذیر هستند که بیشترین تمرکز در ایالات متحده و پس از آن آلمان، فرانسه و هند قرار دارند. داده‌های جمع‌آوری‌شده از راه دور همچنین نشان می‌دهد که صدها آدرس IP مخرب در مناطقی مانند ایالات متحده، هند، انگلستان، سنگاپور و هلند به طور فعال در تلاش‌های بهره‌برداری در یک دوره ۲۴ ساعته شرکت داشته‌اند.