React2Shell 취약점

보안 연구원들은 React2Shell로 알려진 심각한 취약점이 여러 공격자에 의해 리눅스 기반 시스템을 침해하는 데 활발히 악용되고 있음을 확인했습니다. 이 취약점은 KSwapDoor 및 ZnDoor를 비롯한 여러 악성코드 계열을 배포하는 데 사용되어 감염된 환경에 깊고 지속적인 접근 권한을 확보합니다. 현재 진행 중인 공격은 심각한 영향을 미치는 애플리케이션 취약점이 공개되는 즉시 얼마나 빠르게 실제 운영에 활용되는지를 보여줍니다.

KSwapDoor: 은밀한 리눅스 백도어

KSwapDoor는 장기간 은밀하게 활동할 수 있도록 정교하게 설계된 원격 접속 도구입니다. 감염된 서버들이 서로 통신할 수 있는 내부 메시 네트워크를 구축하여 공격자가 경계 방어를 우회하고 개별 노드가 차단되더라도 복원력을 유지할 수 있도록 합니다. 네트워크 트래픽은 강력한 암호화로 보호되어 검사 및 탐지가 매우 어렵습니다. 특히 우려스러운 기능은 휴면 또는 '슬리퍼' 상태로, 악성코드가 은밀한 트리거를 통해 재활성화될 때까지 비활성 상태를 유지하여 방화벽 제어를 효과적으로 우회할 수 있다는 점입니다.

연구진은 KSwapDoor가 이전에 BPFDoor로 잘못 식별되었다고 밝혔습니다. 실제로는 대화형 셸 접근, 임의 명령 실행, 파일 조작, 그리고 시스템 외부로의 이동 기회 탐색을 지원하는 리눅스 백도어입니다. 더욱 위장하기 위해 정상적인 리눅스 커널 스왑 데몬으로 위장하여 일상적인 시스템 모니터링 중에 의심을 살 가능성을 줄였습니다.

ZnDoor, 일본 기업 대상 캠페인 진행

이와 동시에 일본의 여러 기관들이 React2Shell을 악용한 ZnDoor 공격의 표적이 되고 있습니다. 이 원격 접속 트로이목마는 적어도 2023년 12월부터 실제 공격 사례가 확인되었습니다. 이러한 침입은 일반적으로 wget을 사용하여 45.76.155.14 주소의 원격 서버에서 페이로드를 다운로드한 후 로컬에서 실행하는 간단한 bash 명령어로 시작됩니다.

ZnDoor는 설치 후 공격자가 제어하는 인프라에 연결하여 명령을 수신하고 실행합니다. 아래 지원되는 명령 세트에서 볼 수 있듯이, ZnDoor의 기능은 광범위하며 침해된 호스트를 완벽하게 제어할 수 있도록 해줍니다.

• 직접 명령 실행 및 대화형 액세스를 위한 shell 및 interactive_shell
• 파일 및 디렉터리 작업을 위한 explorer, explorer_cat, explorer_delete, explorer_upload 및 explorer_download 명령어
• 호스트 정보를 수집하는 시스템
• change_timefile을 사용하여 파일 타임스탬프를 변경합니다.
• socket_quick_startstreams를 사용하여 SOCKS5 프록시를 시작합니다.
• start_in_port_forward 및 stop_in_port를 사용하여 포트 포워딩을 관리합니다.

CVE-2025-55182 및 다중 그룹 무기화

이러한 광범위한 활동은 최고 CVSS 점수 10.0을 받은 React2Shell 취약점인 CVE-2025-55182의 광범위한 악용과 관련이 있습니다. 최소 5개의 중국 연계 위협 그룹이 이 취약점을 악용하여 터널링 도구, 다운로더, 다양한 리눅스 백도어를 포함한 여러 페이로드를 배포하는 것이 관찰되었습니다. 이러한 페이로드에는 MINOCAT, SNOWLIGHT, COMPOOD, Cloudflare Pages와 GitLab을 사용하여 정상적인 트래픽에 위장하는 HISONIC 변종, 그리고 Noodle RAT으로도 알려진 ANGRYREBEL의 리눅스 버전이 포함됩니다.

사후 악용 및 페이로드 다양성

공격자들은 초기 코드 실행 권한을 획득한 후, 일반적으로 임의 명령을 실행하여 침투력을 강화합니다. 여기에는 알려진 Cobalt Strike 인프라에 대한 리버스 셸 구축, MeshAgent와 같은 원격 모니터링 및 관리 도구 배포, authorized_keys 파일 변경, 루트 계정 직접 로그인 활성화 등이 포함됩니다. 이러한 공격 과정에서 발견된 추가 페이로드로는 VShell, EtherRAT, ShadowPad, XMRig, 그리고 SNOWLIGHT의 반복적인 배포 등이 있습니다.

탐지를 피하기 위해 이러한 공격 캠페인은 trycloudflare.com 도메인 아래의 Cloudflare Tunnel 엔드포인트를 자주 이용하며, 이를 통해 명령 및 제어 트래픽이 합법적인 서비스와 섞이도록 합니다. 그런 다음 광범위한 정찰을 통해 환경을 파악하고, 측면 이동을 지원하며, 중요한 자격 증명을 식별합니다.

클라우드 자격 증명 수집 및 비밀 키 발견

이러한 공격의 주요 목표는 클라우드 환경 내에서 자격 증명을 탈취하는 것입니다. 공격자들은 Azure, AWS, Google Cloud Platform 및 Tencent Cloud의 인스턴스 메타데이터 서비스를 조회하여 ID 토큰을 획득하고 접근 권한을 확장하려는 시도를 하고 있습니다. 또한 TruffleHog 및 Gitleaks와 같은 비밀 정보 스캔 도구와 사용자 지정 스크립트를 사용하여 민감한 정보를 추출하기도 합니다. 여기에는 OpenAI API 키, Databricks 토큰, Kubernetes 서비스 계정 비밀, Azure CLI 및 Azure Developer CLI 도구를 통해 획득한 액세스 토큰과 같은 AI 및 클라우드 네이티브 자격 증명을 탈취하려는 시도가 포함됩니다.

Next.js 취약점을 이용한 데이터 유출

관련 캠페인에서 연구원들은 CVE-2025-29927 및 CVE-2025-66478을 포함한 여러 Next.js 취약점을 악용한 사례를 기록했습니다. 후자는 동일한 React2Shell 문제에 대한 이전 식별자입니다. 이러한 공격은 구성 파일, 환경 변수, SSH 키, 클라우드 자격 증명, Git 인증 데이터, 셸 명령 기록, 그리고 passwd 및 shadow와 같은 민감한 시스템 파일을 체계적으로 추출하는 데 초점을 맞췄습니다. 또한 이 멀웨어는 지속성을 확보하고, SOCKS5 프록시를 설치하고, 67.217.57.240의 888번 포트로 리버스 셸을 열고, 인터넷에서 추가적인 취약 대상을 검색하는 React 스캐너를 배포합니다.

PCPcat 작전: 규모 및 영향

PCPcat 작전이라는 이름으로 추적된 이번 활동으로 이미 59,128개의 서버가 침해된 것으로 추정됩니다. 분석가들은 이 캠페인이 대규모 정보 수집 및 조직적인 데이터 유출을 시사한다고 평가합니다. 현재 측정 결과에 따르면 111,000개 이상의 IP 주소가 React2Shell 취약점에 노출되어 있으며, 미국이 가장 집중되어 있고 그 다음으로 독일, 프랑스, 인도 순입니다. 수집된 원격 측정 데이터에 따르면 미국, 인도, 영국, 싱가포르, 네덜란드 등 여러 지역의 수백 개의 악성 IP 주소가 단 24시간 동안 공격 시도에 적극적으로 참여한 것으로 나타났습니다.