Kahinaan ng React2Shell

Kinumpirma ng mga mananaliksik sa seguridad na ang kritikal na kahinaan na kilala bilang React2Shell ay aktibong inaabuso ng maraming aktor ng banta upang ikompromiso ang mga sistemang nakabase sa Linux. Ang depekto ay ginagamit upang mag-deploy ng ilang pamilya ng malware, lalo na ang KSwapDoor at ZnDoor, na nagbibigay-daan sa malalim at patuloy na pag-access sa mga apektadong kapaligiran. Itinatampok ng patuloy na pagsasamantala kung gaano kabilis na nagagamit ang mga depekto sa application na may mataas na epekto kapag naibunyag na.

KSwapDoor: Isang Backdoor ng Linux na Nakatuon sa Lihim

Ang KSwapDoor ay isang maingat na dinisenyong tool para sa remote access na ginawa upang manatiling nakatago sa mahabang panahon. Nagtatatag ito ng internal mesh network na nagbibigay-daan sa mga nahawaang server na makipag-ugnayan sa isa't isa, na tumutulong sa mga umaatake na malampasan ang mga perimeter defense at mapanatili ang katatagan kung ang mga indibidwal na node ay naharang. Ang trapiko sa network nito ay protektado ng malakas na encryption, na nagpapahirap sa inspeksyon at pagtuklas. Isa sa mga pinakanakababahalang kakayahan nito ay ang isang dormant o 'sleeper' state, na nagpapahintulot sa malware na manatiling hindi aktibo hanggang sa makatanggap ito ng isang covert trigger na muling mag-a-activate nito, na epektibong lumalampas sa mga kontrol ng firewall.

Nilinaw ng mga mananaliksik na ang KSwapDoor ay dating napagkamalang BPFDoor. Sa katotohanan, ito ay isang Linux backdoor na sumusuporta sa interactive shell access, arbitrary command execution, file manipulation, at pag-scan para sa mga pagkakataon sa lateral movement. Upang lalong makihalubilo, nagkukunwari itong isang lehitimong Linux kernel swap daemon, na binabawasan ang posibilidad na magdulot ng hinala habang regular na sinusubaybayan ang sistema.

Mga Kampanya ng ZnDoor na Tumutuon sa mga Organisasyong Hapones

Kasabay nito, ang mga organisasyon sa Japan ay tinarget ng mga pag-atake na nagsasamantala sa React2Shell upang maghatid ng ZnDoor. Ang remote access trojan na ito ay naobserbahan sa totoong aktibidad sa mundo simula noong Disyembre 2023. Ang mga panghihimasok na ito ay karaniwang nagsisimula sa isang simpleng utos ng bash na kumukuha ng payload mula sa isang remote server sa 45.76.155.14 gamit ang wget at pagkatapos ay isinasagawa ito nang lokal.

Kapag na-install na, ang ZnDoor ay kumokonekta muli sa imprastraktura na kontrolado ng attacker upang makatanggap ng mga tagubilin at kumilos ayon sa mga ito. Malawak ang functionality nito at nagbibigay-daan sa ganap na kontrol sa nakompromisong host, gaya ng ipinapakita ng sinusuportahang command set sa ibaba:

• shell at interactive_shell para sa direktang pagpapatupad ng utos at interactive na pag-access
• explorer, explorer_cat, explorer_delete, explorer_upload, at explorer_download para sa mga operasyon ng file at direktoryo
• sistema para sa pagkolekta ng impormasyon ng host
• change_timefile para baguhin ang mga timestamp ng file
• socket_quick_startstreams para ilunsad ang isang SOCKS5 proxy
• start_in_port_forward at stop_in_port para pamahalaan ang port forwarding

CVE-2025-55182 at Pagsasandata ng Maraming Grupo

Ang mas malawak na aktibidad ay kasabay ng malawakang pagsasamantala sa CVE-2025-55182, isang kahinaan sa React2Shell na may pinakamataas na marka ng CVSS na 10.0. Hindi bababa sa limang grupo ng banta na nakahanay sa China ang naobserbahang ginagamit ang depektong ito upang ipamahagi ang iba't ibang uri ng mga payload, kabilang ang mga tunneling tool, downloader, at maraming Linux backdoor. Kabilang sa mga ito ay ang MINOCAT, SNOWLIGHT, COMPOOD, isang na-update na variant ng HISONIC na humahalo sa lehitimong trapiko gamit ang Cloudflare Pages at GitLab, at isang bersyon ng Linux ng ANGRYREBEL, na kilala rin bilang Noodle RAT.

Pang-aabuso Pagkatapos ng Pagsasamantala at Pagkakaiba-iba ng Payload

Matapos makuha ang paunang pagpapatupad ng code, karaniwang nagpapatakbo ang mga attacker ng mga arbitraryong utos upang palalimin ang kanilang kontrol. Kabilang dito ang pagtatatag ng mga reverse shell sa kilalang imprastraktura ng Cobalt Strike, pag-deploy ng mga remote monitoring at management tool tulad ng MeshAgent, pagbabago sa authorized_keys file, at pagpapagana ng mga direktang root login. Kabilang sa mga karagdagang payload na nakikita sa mga operasyong ito ang VShell, EtherRAT, ShadowPad, XMRig, at paulit-ulit na pag-deploy ng SNOWLIGHT.

Para maiwasan ang pagtuklas, ang mga kampanya ay madalas na umaasa sa mga endpoint ng Cloudflare Tunnel sa ilalim ng domain na trycloudflare.com, na nagpapahintulot sa trapiko ng command-and-control na makihalubilo sa mga lehitimong serbisyo. Pagkatapos ay isinasagawa ang malawakang pagmamanman upang imapa ang kapaligiran, suportahan ang paggalaw sa gilid, at tukuyin ang mahahalagang kredensyal.

Pag-aani ng Kredensyal sa Cloud at Pagtuklas ng Lihim

Ang pangunahing pokus ng mga pag-atakeng ito ay ang pagnanakaw ng kredensyal sa loob ng mga cloud environment. Naobserbahan ang mga threat actor na kumukuwestiyon sa mga serbisyo ng metadata ng instance para sa Azure, AWS, Google Cloud Platform, at Tencent Cloud sa pagsisikap na makakuha ng mga identity token at palawakin ang kanilang access. Nagde-deploy din sila ng mga secret-scanning tool tulad ng TruffleHog at Gitleaks, kasama ng mga custom script, upang kumuha ng sensitibong materyal. Kabilang dito ang mga pagtatangkang nakawin ang mga AI at cloud-native credential tulad ng mga OpenAI API key, Databricks token, mga lihim ng Kubernetes service account, at mga access token na nakuha sa pamamagitan ng Azure CLI at Azure Developer CLI tooling.

Pagsasamantala sa Next.js at Pag-exfiltrate ng Datos

Sa isang kaugnay na kampanya, idinokumento ng mga mananaliksik ang pagsasamantala sa maraming depekto ng Next.js, kabilang ang CVE-2025-29927 at CVE-2025-66478, na ang huli ay isang naunang identifier para sa parehong isyu ng React2Shell. Ang mga pag-atakeng ito ay nakatuon sa sistematikong pagkuha ng mga configuration file, environment variable, SSH key, cloud credential, Git authentication data, shell command history, at mga sensitibong system file tulad ng passwd at shadow. Nagtatatag din ang malware ng persistence, nag-i-install ng SOCKS5 proxy, nagbubukas ng reverse shell sa 67.217.57.240 sa port 888, at nagde-deploy ng React scanner upang maghanap sa internet para sa mga karagdagang mahinang target.

Operasyon PCPcat: Sukat at Epekto

Ang pinagsamang aktibidad, na sinusubaybayan sa ilalim ng pangalang Operation PCPcat, ay pinaniniwalaang nakakompromiso na sa 59,128 na server. Tinatasa ng mga analyst ang kampanya bilang indikasyon ng malawakang pangongolekta ng impormasyon at industriyalisadong paglabas ng datos. Ang mga kasalukuyang sukat ay nagmumungkahi na mahigit sa 111,000 IP address ang nananatiling mahina sa pagsasamantala sa React2Shell, na may pinakamataas na konsentrasyon sa Estados Unidos, na sinusundan ng Germany, France, at India. Ang nakalap na telemetry ay nagpapahiwatig din na daan-daang malisyosong IP address sa mga rehiyon tulad ng US, India, UK, Singapore, at Netherlands ang aktibong lumahok sa mga pagtatangka ng pagsasamantala sa loob ng isang 24 na oras na panahon.