React2Shell దుర్బలత్వం

లైనక్స్ ఆధారిత వ్యవస్థలను రాజీ చేయడానికి బహుళ బెదిరింపు నటులు React2Shell అని పిలువబడే క్లిష్టమైన దుర్బలత్వాన్ని చురుకుగా దుర్వినియోగం చేస్తున్నారని భద్రతా పరిశోధకులు నిర్ధారించారు. ఈ లోపాన్ని అనేక మాల్వేర్ కుటుంబాలను, ముఖ్యంగా KSwapDoor మరియు ZnDoor లను అమలు చేయడానికి ఉపయోగించుకుంటున్నారు, ఇది ప్రభావిత వాతావరణాలకు లోతైన మరియు నిరంతర ప్రాప్యతను అనుమతిస్తుంది. అధిక-ప్రభావిత అప్లికేషన్ లోపాలు బహిర్గతం అయిన తర్వాత ఎంత త్వరగా అమలు చేయబడతాయో కొనసాగుతున్న దోపిడీ హైలైట్ చేస్తుంది.

KSwapDoor: ఒక స్టీల్త్-ఫోకస్డ్ Linux బ్యాక్‌డోర్

KSwapDoor అనేది చాలా కాలం పాటు దాచబడి ఉండేలా జాగ్రత్తగా రూపొందించబడిన రిమోట్ యాక్సెస్ సాధనం. ఇది ఇన్‌ఫెక్ట్ చేయబడిన సర్వర్‌లు ఒకదానితో ఒకటి సంభాషించడానికి అనుమతించే అంతర్గత మెష్ నెట్‌వర్క్‌ను ఏర్పాటు చేస్తుంది, దాడి చేసేవారు చుట్టుకొలత రక్షణలను దాటవేయడానికి మరియు వ్యక్తిగత నోడ్‌లు బ్లాక్ చేయబడితే స్థితిస్థాపకతను నిర్వహించడానికి సహాయపడుతుంది. దీని నెట్‌వర్క్ ట్రాఫిక్ బలమైన ఎన్‌క్రిప్షన్‌తో రక్షించబడుతుంది, తనిఖీ మరియు గుర్తింపును గణనీయంగా కష్టతరం చేస్తుంది. దాని అత్యంత ముఖ్యమైన సామర్థ్యాలలో ఒకటి నిద్రాణమైన లేదా 'స్లీపర్' స్థితి, ఇది మాల్వేర్‌ను తిరిగి సక్రియం చేసే రహస్య ట్రిగ్గర్‌ను అందుకునే వరకు నిష్క్రియంగా ఉండటానికి అనుమతిస్తుంది, ఇది ఫైర్‌వాల్ నియంత్రణలను సమర్థవంతంగా దాటవేస్తుంది.

KSwapDoor ను గతంలో BPFDoor గా తప్పుగా గుర్తించారని పరిశోధకులు స్పష్టం చేశారు. వాస్తవానికి, ఇది ఇంటరాక్టివ్ షెల్ యాక్సెస్, ఏకపక్ష కమాండ్ ఎగ్జిక్యూషన్, ఫైల్ మానిప్యులేషన్ మరియు లాటరల్ మూవ్‌మెంట్ అవకాశాల కోసం స్కానింగ్‌కు మద్దతు ఇచ్చే Linux బ్యాక్‌డోర్. మరింత కలిసిపోవడానికి, ఇది చట్టబద్ధమైన Linux కెర్నల్ స్వాప్ డెమోన్‌గా మారువేషంలో ఉంటుంది, రొటీన్ సిస్టమ్ మానిటరింగ్ సమయంలో అనుమానం వచ్చే అవకాశాన్ని తగ్గిస్తుంది.

జపనీస్ సంస్థలను లక్ష్యంగా చేసుకుని ZnDoor ప్రచారాలు

సమాంతరంగా, జపాన్‌లోని సంస్థలు ZnDoorను అందించడానికి React2Shellను ఉపయోగించుకునే దాడులకు లక్ష్యంగా పెట్టుకున్నాయి. ఈ రిమోట్ యాక్సెస్ ట్రోజన్ కనీసం డిసెంబర్ 2023 నుండి వాస్తవ ప్రపంచ కార్యకలాపాలలో గమనించబడింది. ఈ చొరబాట్లు సాధారణంగా wgetని ఉపయోగించి 45.76.155.14 వద్ద రిమోట్ సర్వర్ నుండి పేలోడ్‌ను తిరిగి పొందే సాధారణ బాష్ కమాండ్‌తో ప్రారంభమవుతాయి మరియు దానిని స్థానికంగా అమలు చేస్తాయి.

ఒకసారి ఇన్‌స్టాల్ చేసిన తర్వాత, ZnDoor దాడి చేసేవారి నియంత్రిత మౌలిక సదుపాయాలకు తిరిగి కనెక్ట్ అవుతుంది, సూచనలను స్వీకరించి వాటిపై చర్య తీసుకుంటుంది. దీని కార్యాచరణ విస్తృతమైనది మరియు రాజీపడిన హోస్ట్‌పై పూర్తి నియంత్రణను అనుమతిస్తుంది, ఇది క్రింద ఇవ్వబడిన మద్దతు ఉన్న కమాండ్ సెట్ ద్వారా వివరించబడింది:

• డైరెక్ట్ కమాండ్ ఎగ్జిక్యూషన్ మరియు ఇంటరాక్టివ్ యాక్సెస్ కోసం షెల్ మరియు ఇంటరాక్టివ్_షెల్
• ఫైల్ మరియు డైరెక్టరీ ఆపరేషన్ల కోసం ఎక్స్‌ప్లోరర్, ఎక్స్‌ప్లోరర్_క్యాట్, ఎక్స్‌ప్లోరర్_డిలీట్, ఎక్స్‌ప్లోరర్_అప్‌లోడ్ మరియు ఎక్స్‌ప్లోరర్_డౌన్‌లోడ్
• హోస్ట్ సమాచారాన్ని సేకరించే వ్యవస్థ
• ఫైల్ టైమ్‌స్టాంప్‌లను మార్చడానికి change_timefile
• SOCKS5 ప్రాక్సీని ప్రారంభించడానికి socket_quick_startstreams
• పోర్ట్ ఫార్వార్డింగ్ నిర్వహించడానికి start_in_port_forward మరియు stop_in_port

CVE-2025-55182 మరియు మల్టీ-గ్రూప్ వెపనైజేషన్

ఈ విస్తృత కార్యాచరణ CVE-2025-55182 యొక్క విస్తృత దోపిడీతో సమానంగా ఉంటుంది, React2Shell దుర్బలత్వానికి గరిష్ట CVSS స్కోరు 10.0 కేటాయించబడింది. టన్నెలింగ్ సాధనాలు, డౌన్‌లోడ్‌లు మరియు బహుళ Linux బ్యాక్‌డోర్‌లతో సహా విభిన్న శ్రేణి పేలోడ్‌లను పంపిణీ చేయడానికి కనీసం ఐదు చైనా-సమలేఖన ముప్పు సమూహాలు ఈ లోపాన్ని ఆయుధంగా ఉపయోగిస్తున్నట్లు గమనించబడింది. వీటిలో MINOCAT, SNOWLIGHT, COMPOOD, Cloudflare పేజీలు మరియు GitLab ఉపయోగించి చట్టబద్ధమైన ట్రాఫిక్‌లో మిళితం అయ్యే నవీకరించబడిన HISONIC వేరియంట్ మరియు నూడిల్ RAT అని కూడా పిలువబడే ANGRYREBEL యొక్క Linux వెర్షన్ ఉన్నాయి.

దోపిడీ తర్వాత దుర్వినియోగం మరియు పేలోడ్ వైవిధ్యం

ప్రారంభ కోడ్ అమలును పొందిన తర్వాత, దాడి చేసేవారు సాధారణంగా తమ స్థానాన్ని మరింతగా పెంచుకోవడానికి ఏకపక్ష ఆదేశాలను అమలు చేస్తారు. ఇందులో తెలిసిన కోబాల్ట్ స్ట్రైక్ మౌలిక సదుపాయాలకు రివర్స్ షెల్‌లను ఏర్పాటు చేయడం, MeshAgent వంటి రిమోట్ పర్యవేక్షణ మరియు నిర్వహణ సాధనాలను అమలు చేయడం, authorized_keys ఫైల్‌ను మార్చడం మరియు డైరెక్ట్ రూట్ లాగిన్‌లను ప్రారంభించడం వంటివి ఉంటాయి. ఈ కార్యకలాపాల సమయంలో కనిపించే అదనపు పేలోడ్‌లలో VShell, EtherRAT, ShadowPad, XMRig మరియు SNOWLIGHT యొక్క పునరావృత విస్తరణలు ఉన్నాయి.

గుర్తింపును తప్పించుకోవడానికి, ప్రచారాలు తరచుగా trycloudflare.com డొమైన్ కింద క్లౌడ్‌ఫ్లేర్ టన్నెల్ ఎండ్‌పాయింట్‌లపై ఆధారపడతాయి, ఇది కమాండ్-అండ్-కంట్రోల్ ట్రాఫిక్‌ను చట్టబద్ధమైన సేవలతో కలపడానికి అనుమతిస్తుంది. పర్యావరణాన్ని మ్యాప్ చేయడానికి, పార్శ్వ కదలికకు మద్దతు ఇవ్వడానికి మరియు విలువైన ఆధారాలను గుర్తించడానికి విస్తృతమైన నిఘా నిర్వహించబడుతుంది.

క్లౌడ్ క్రెడెన్షియల్ హార్వెస్టింగ్ మరియు సీక్రెట్ డిస్కవరీ

ఈ దాడులలో ప్రధాన దృష్టి క్లౌడ్ పరిసరాలలో ఆధారాల దొంగతనం. గుర్తింపు టోకెన్‌లను పొందేందుకు మరియు వారి యాక్సెస్‌ను విస్తరించేందుకు బెదిరింపు నటులు Azure, AWS, Google Cloud Platform మరియు Tencent Cloud కోసం ఇన్‌స్టాన్స్ మెటాడేటా సేవలను ప్రశ్నించడం గమనించబడింది. సున్నితమైన విషయాలను సంగ్రహించడానికి వారు కస్టమ్ స్క్రిప్ట్‌లతో పాటు TruffleHog మరియు Gitleaks వంటి రహస్య-స్కానింగ్ సాధనాలను కూడా ఉపయోగిస్తారు. ఇందులో OpenAI API కీలు, Databricks టోకెన్‌లు, Kubernetes సర్వీస్ ఖాతా రహస్యాలు మరియు Azure CLI మరియు Azure డెవలపర్ CLI టూలింగ్ ద్వారా పొందిన యాక్సెస్ టోకెన్‌ల వంటి AI మరియు క్లౌడ్-స్థానిక ఆధారాలను దొంగిలించే ప్రయత్నాలు కూడా ఉన్నాయి.

Next.js దోపిడీ మరియు డేటా నిర్మూలన

సంబంధిత ప్రచారంలో, పరిశోధకులు బహుళ Next.js లోపాల దోపిడీని నమోదు చేశారు, వాటిలో CVE-2025-29927 మరియు CVE-2025-66478 ఉన్నాయి, రెండోది అదే React2Shell సమస్యకు మునుపటి ఐడెంటిఫైయర్. ఈ దాడులు కాన్ఫిగరేషన్ ఫైల్‌లు, ఎన్విరాన్‌మెంట్ వేరియబుల్స్, SSH కీలు, క్లౌడ్ ఆధారాలు, Git ప్రామాణీకరణ డేటా, షెల్ కమాండ్ హిస్టరీ మరియు పాస్‌డబ్ల్యుడి మరియు షాడో వంటి సున్నితమైన సిస్టమ్ ఫైల్‌లను క్రమపద్ధతిలో సంగ్రహించడంపై దృష్టి సారించాయి. మాల్వేర్ కూడా నిలకడను ఏర్పరుస్తుంది, SOCKS5 ప్రాక్సీని ఇన్‌స్టాల్ చేస్తుంది, పోర్ట్ 888లో 67.217.57.240కి రివర్స్ షెల్‌ను తెరుస్తుంది మరియు అదనపు దుర్బల లక్ష్యాల కోసం ఇంటర్నెట్‌లో శోధించడానికి రియాక్ట్ స్కానర్‌ను అమలు చేస్తుంది.

ఆపరేషన్ PCPcat: స్కేల్ మరియు ఇంపాక్ట్

ఆపరేషన్ PCPcat పేరుతో ట్రాక్ చేయబడిన ఈ సంయుక్త కార్యాచరణ ఇప్పటికే 59,128 సర్వర్‌లను రాజీ పడేసిందని నమ్ముతారు. ఈ ప్రచారం పెద్ద ఎత్తున నిఘా సేకరణ మరియు పారిశ్రామిక డేటా తొలగింపుకు సూచికగా విశ్లేషకులు అంచనా వేస్తున్నారు. ప్రస్తుత కొలతలు 111,000 కంటే ఎక్కువ IP చిరునామాలు React2Shell దోపిడీకి గురయ్యే అవకాశం ఉందని సూచిస్తున్నాయి, యునైటెడ్ స్టేట్స్‌లో అత్యధిక సాంద్రత ఉంది, తరువాత జర్మనీ, ఫ్రాన్స్ మరియు భారతదేశం ఉన్నాయి. సేకరించిన టెలిమెట్రీ మరింతగా US, భారతదేశం, UK, సింగపూర్ మరియు నెదర్లాండ్స్ వంటి ప్రాంతాలలో వందలాది హానికరమైన IP చిరునామాలు ఒకే 24 గంటల వ్యవధిలో దోపిడీ ప్రయత్నాలలో చురుకుగా పాల్గొన్నాయని సూచిస్తున్నాయి.