Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade Vulnerabilidade do React2Shell

Vulnerabilidade do React2Shell

Por Mezo em Vulnerabilidade, Ameaça Persistente Avançada (APT), Malware
Traduzir Para:

Pesquisadores de segurança confirmaram que a vulnerabilidade crítica conhecida como React2Shell está sendo explorada ativamente por diversos agentes maliciosos para comprometer sistemas baseados em Linux. A falha está sendo usada para implantar várias famílias de malware, principalmente KSwapDoor e ZnDoor, permitindo acesso profundo e persistente aos ambientes afetados. A exploração em curso demonstra a rapidez com que falhas de alto impacto em aplicações são operacionalizadas após serem divulgadas.

KSwapDoor: Uma porta dos fundos Linux focada em discrição

O KSwapDoor é uma ferramenta de acesso remoto cuidadosamente projetada para permanecer oculta por longos períodos. Ele estabelece uma rede mesh interna que permite que servidores infectados se comuniquem entre si, ajudando os atacantes a contornar defesas de perímetro e manter a resiliência caso nós individuais sejam bloqueados. Seu tráfego de rede é protegido com criptografia robusta, dificultando significativamente a inspeção e a detecção. Uma de suas capacidades mais preocupantes é um estado dormente ou "adormecido", que permite que o malware permaneça inativo até receber um gatilho secreto que o reativa, burlando efetivamente os controles de firewall.

Os pesquisadores esclareceram que o KSwapDoor havia sido erroneamente identificado como BPFDoor. Na realidade, trata-se de uma porta dos fundos do Linux que permite acesso interativo ao shell, execução de comandos arbitrários, manipulação de arquivos e busca por oportunidades de movimentação lateral. Para se camuflar ainda mais, ele se disfarça como um daemon de swap legítimo do kernel do Linux, reduzindo a probabilidade de levantar suspeitas durante o monitoramento de rotina do sistema.

Campanhas da ZnDoor direcionadas a organizações japonesas

Em paralelo, organizações no Japão têm sido alvo de ataques que exploram o React2Shell para distribuir o ZnDoor. Este trojan de acesso remoto tem sido observado em atividades reais desde pelo menos dezembro de 2023. Essas intrusões normalmente começam com um simples comando bash que recupera o payload de um servidor remoto no endereço 45.76.155.14 usando o wget e, em seguida, o executa localmente.

Uma vez instalado, o ZnDoor se conecta à infraestrutura controlada pelo atacante para receber instruções e executá-las. Sua funcionalidade é ampla e permite controle total sobre o host comprometido, como ilustrado pelo conjunto de comandos suportados abaixo:

  • shell e interactive_shell para execução direta de comandos e acesso interativo
  • explorer, explorer_cat, explorer_delete, explorer_upload e explorer_download para operações de arquivo e diretório
  • sistema para coletar informações do host
  • change_timefile para alterar os carimbos de data/hora do arquivo
  • socket_quick_startstreams para iniciar um proxy SOCKS5
  • start_in_port_forward e stop_in_port para gerenciar o encaminhamento de portas.

CVE-2025-55182 e Armamentização Multigrupo

A atividade mais ampla coincide com a exploração generalizada da vulnerabilidade CVE-2025-55182, uma vulnerabilidade do React2Shell com pontuação CVSS máxima de 10,0. Pelo menos cinco grupos de ameaças alinhados à China foram observados utilizando essa falha para distribuir uma gama diversificada de payloads, incluindo ferramentas de tunelamento, downloaders e vários backdoors para Linux. Entre eles, estavam o MINOCAT, o SNOWLIGHT, o COMPOOD, uma variante atualizada do HISÔNIC que se mistura ao tráfego legítimo usando o Cloudflare Pages e o GitLab, e uma versão para Linux do ANGRYREBEL, também conhecido como Noodle RAT.

Abuso pós-exploração e diversidade de carga útil

Após obterem a execução inicial do código, os atacantes geralmente executam comandos arbitrários para consolidar seu domínio. Isso inclui estabelecer shells reversos em infraestruturas conhecidas do Cobalt Strike, implantar ferramentas de monitoramento e gerenciamento remoto, como o MeshAgent, alterar o arquivo authorized_keys e habilitar logins diretos como root. Outras cargas maliciosas observadas durante essas operações incluem VShell, EtherRAT, ShadowPad, XMRig e implantações repetidas do SNOWLIGHT.

Para evitar a detecção, as campanhas frequentemente utilizam endpoints do Cloudflare Tunnel sob o domínio trycloudflare.com, permitindo que o tráfego de comando e controle se misture com serviços legítimos. Em seguida, é realizado um extenso reconhecimento para mapear o ambiente, facilitar a movimentação lateral e identificar credenciais valiosas.

Coleta de credenciais na nuvem e descoberta de segredos

Um dos principais focos desses ataques é o roubo de credenciais em ambientes de nuvem. Observou-se que agentes maliciosos consultam serviços de metadados de instâncias do Azure, AWS, Google Cloud Platform e Tencent Cloud, numa tentativa de obter tokens de identidade e expandir seu acesso. Eles também implantam ferramentas de varredura de segredos, como TruffleHog e Gitleaks, juntamente com scripts personalizados, para extrair material sensível. Isso inclui tentativas de roubar credenciais de IA e nativas da nuvem, como chaves de API do OpenAI, tokens do Databricks, segredos de contas de serviço do Kubernetes e tokens de acesso obtidos por meio das ferramentas Azure CLI e Azure Developer CLI.

Exploração e exfiltração de dados do Next.js

Em uma campanha relacionada, pesquisadores documentaram a exploração de múltiplas falhas do Next.js, incluindo CVE-2025-29927 e CVE-2025-66478, sendo esta última um identificador anterior para o mesmo problema do React2Shell. Esses ataques se concentraram na extração sistemática de arquivos de configuração, variáveis de ambiente, chaves SSH, credenciais de nuvem, dados de autenticação do Git, histórico de comandos do shell e arquivos de sistema sensíveis, como passwd e shadow. O malware também estabelece persistência, instala um proxy SOCKS5, abre um shell reverso para o endereço IP 67.217.57.240 na porta 888 e implanta um scanner React para buscar na internet por alvos vulneráveis adicionais.

Operação PCPcat: Escala e Impacto

A atividade combinada, rastreada sob o nome de Operação PCPcat, acredita-se já ter comprometido 59.128 servidores. Analistas avaliam a campanha como indicativa de coleta de informações em larga escala e exfiltração de dados industrializada. Medições atuais sugerem que mais de 111.000 endereços IP permanecem vulneráveis à exploração do React2Shell, com a maior concentração nos Estados Unidos, seguidos por Alemanha, França e Índia. Dados de telemetria coletados indicam ainda que centenas de endereços IP maliciosos em regiões como EUA, Índia, Reino Unido, Singapura e Holanda participaram ativamente de tentativas de exploração em um único período de 24 horas.

Tendendo

Mais visto

Carregando...