Preventivo sconto multi-licenza
Database delle minacce Vulnerabilità Vulnerabilità di React2Shell

Vulnerabilità di React2Shell

Entro Mezo nel Vulnerabilità, Minaccia persistente avanzata (APT), Malware
Traduci in:

I ricercatori di sicurezza hanno confermato che la vulnerabilità critica nota come React2Shell viene sfruttata attivamente da diversi autori di minacce per compromettere i sistemi basati su Linux. La falla viene sfruttata per distribuire diverse famiglie di malware, in particolare KSwapDoor e ZnDoor, consentendo un accesso profondo e persistente agli ambienti interessati. Lo sfruttamento in corso evidenzia la rapidità con cui le falle applicative ad alto impatto vengono rese operative una volta scoperte.

KSwapDoor: una backdoor Linux incentrata sulla furtività

KSwapDoor è uno strumento di accesso remoto accuratamente progettato per rimanere nascosto per lunghi periodi. Crea una rete mesh interna che consente ai server infetti di comunicare tra loro, aiutando gli aggressori a bypassare le difese perimetrali e a mantenere la resilienza in caso di blocco di singoli nodi. Il traffico di rete è protetto da una crittografia avanzata, che rende l'ispezione e il rilevamento significativamente più difficili. Una delle sue funzionalità più preoccupanti è lo stato dormiente o "dormiente", che consente al malware di rimanere inattivo finché non riceve un trigger nascosto che lo riattiva, bypassando di fatto i controlli del firewall.

I ricercatori hanno chiarito che KSwapDoor era stato precedentemente identificato erroneamente come BPFDoor. In realtà, si tratta di una backdoor Linux che supporta l'accesso interattivo alla shell, l'esecuzione di comandi arbitrari, la manipolazione di file e la scansione per individuare opportunità di movimento laterale. Per mimetizzarsi ulteriormente, si maschera da legittimo demone di swap del kernel Linux, riducendo la probabilità di destare sospetti durante il monitoraggio di routine del sistema.

Campagne ZnDoor rivolte alle organizzazioni giapponesi

Parallelamente, alcune organizzazioni in Giappone sono state prese di mira da attacchi che sfruttano React2Shell per distribuire ZnDoor. Questo trojan di accesso remoto è stato osservato in attività reali almeno da dicembre 2023. Queste intrusioni iniziano in genere con un semplice comando bash che recupera il payload da un server remoto all'indirizzo 45.76.155.14 tramite wget e lo esegue localmente.

Una volta installato, ZnDoor si connette all'infrastruttura controllata dall'aggressore per ricevere istruzioni e agire di conseguenza. Le sue funzionalità sono ampie e consentono il pieno controllo dell'host compromesso, come illustrato dal set di comandi supportato di seguito:

  • shell e interactive_shell per l'esecuzione diretta dei comandi e l'accesso interattivo
  • explorer, explorer_cat, explorer_delete, explorer_upload e explorer_download per operazioni su file e directory
  • sistema per la raccolta di informazioni sull'host
  • change_timefile per modificare i timestamp dei file
  • socket_quick_startstreams per avviare un proxy SOCKS5
  • start_in_port_forward e stop_in_port per gestire l'inoltro delle porte

CVE-2025-55182 e l’armamentizzazione multigruppo

L'attività più ampia coincide con lo sfruttamento diffuso di CVE-2025-55182, una vulnerabilità di React2Shell a cui è stato assegnato un punteggio CVSS massimo di 10,0. Sono stati osservati almeno cinque gruppi di minacce allineati con la Cina che sfruttano questa falla per distribuire una vasta gamma di payload, tra cui strumenti di tunneling, downloader e diverse backdoor Linux. Tra questi figurano MINOCAT, SNOWLIGHT, COMPOOD, una variante aggiornata di HISONIC che si integra nel traffico legittimo utilizzando Cloudflare Pages e GitLab, e una versione Linux di ANGRYREBEL, nota anche come Noodle RAT.

Abuso post-sfruttamento e diversità del carico utile

Dopo aver ottenuto l'esecuzione iniziale del codice, gli aggressori eseguono comunemente comandi arbitrari per rafforzare la propria posizione. Ciò include la creazione di reverse shell sull'infrastruttura Cobalt Strike nota, l'implementazione di strumenti di monitoraggio e gestione remota come MeshAgent, la modifica del file authorized_keys e l'abilitazione degli accessi root diretti. Ulteriori payload rilevati durante queste operazioni includono VShell, EtherRAT, ShadowPad, XMRig e ripetute implementazioni di SNOWLIGHT.

Per eludere il rilevamento, le campagne si affidano spesso agli endpoint di Cloudflare Tunnel sotto il dominio trycloudflare.com, consentendo al traffico di comando e controllo di confondersi con i servizi legittimi. Vengono quindi eseguite ricognizioni approfondite per mappare l'ambiente, supportare i movimenti laterali e identificare credenziali preziose.

Raccolta di credenziali cloud e scoperta di segreti

Uno degli obiettivi principali di questi attacchi è il furto di credenziali negli ambienti cloud. È stato osservato che gli autori delle minacce interrogano i servizi di metadati delle istanze per Azure, AWS, Google Cloud Platform e Tencent Cloud nel tentativo di ottenere token di identità ed espandere il proprio accesso. Utilizzano anche strumenti di scansione dei segreti come TruffleHog e Gitleaks, insieme a script personalizzati, per estrarre materiale sensibile. Tra questi, i tentativi di rubare credenziali AI e cloud native come chiavi API OpenAI, token Databricks, segreti degli account di servizio Kubernetes e token di accesso ottenuti tramite gli strumenti Azure CLI e Azure Developer CLI.

Sfruttamento di Next.js ed esfiltrazione dei dati

In una campagna correlata, i ricercatori hanno documentato lo sfruttamento di diverse falle di Next.js, tra cui CVE-2025-29927 e CVE-2025-66478, quest'ultima un identificatore precedente per lo stesso problema di React2Shell. Questi attacchi si sono concentrati sull'estrazione sistematica di file di configurazione, variabili di ambiente, chiavi SSH, credenziali cloud, dati di autenticazione Git, cronologia dei comandi shell e file di sistema sensibili come passwd e shadow. Il malware stabilisce inoltre la persistenza, installa un proxy SOCKS5, apre una reverse shell all'indirizzo 67.217.57.240 sulla porta 888 e implementa uno scanner React per cercare in Internet ulteriori obiettivi vulnerabili.

Operazione PCPcat: scala e impatto

Si ritiene che l'attività combinata, monitorata con il nome di Operazione PCPcat, abbia già compromesso 59.128 server. Gli analisti valutano la campagna come indicativa di una raccolta di intelligence su larga scala e di un'esfiltrazione di dati industrializzata. Le misurazioni attuali suggeriscono che oltre 111.000 indirizzi IP rimangono vulnerabili allo sfruttamento di React2Shell, con la più alta concentrazione negli Stati Uniti, seguiti da Germania, Francia e India. I dati di telemetria raccolti indicano inoltre che centinaia di indirizzi IP dannosi in regioni come Stati Uniti, India, Regno Unito, Singapore e Paesi Bassi hanno partecipato attivamente a tentativi di sfruttamento nell'arco di 24 ore.

Tendenza

I più visti

Caricamento in corso...