React2Shell tiếp tục chứng kiến sự khai thác mạnh mẽ, với các tác nhân đe dọa tận dụng lỗ hổng bảo mật mức độ nghiêm trọng cao nhất trong React Server Components (RSC) để phát tán công cụ đào tiền mã hóa và một loạt các họ mã độc chưa từng được ghi nhận trước đây, theo những phát hiện mới từ Huntress.
Điều này bao gồm một backdoor Linux có tên PeerBlight, một tunnel proxy ngược tên là CowTunnel, và một implant hậu khai thác dựa trên Go được gọi là ZinFoq.
Công ty an ninh mạng này cho biết họ đã quan sát thấy những kẻ tấn công nhắm mục tiêu vào nhiều tổ chức thông qua CVE-2025-55182, một lỗ hổng bảo mật nghiêm trọng trong RSC cho phép thực thi mã từ xa không cần xác thực. Tính đến ngày 8 tháng 12 năm 2025, những nỗ lực này đã nhắm vào nhiều lĩnh vực, nhưng nổi bật nhất là ngành xây dựng và giải trí.
Nỗ lực khai thác đầu tiên được ghi nhận trên một Windows endpoint bởi Huntress diễn ra vào ngày 4 tháng 12 năm 2025, khi một tác nhân đe dọa không xác định đã khai thác một phiên bản Next.js dễ bị tổn thương để thả một shell script, sau đó là các lệnh để thả một công cụ đào tiền mã hóa và một backdoor Linux.
Trong hai trường hợp khác, những kẻ tấn công đã được quan sát khởi chạy các lệnh khám phá và cố gắng tải xuống một số payloads từ một máy chủ command-and-control (C2). Một số cuộc xâm nhập đáng chú ý cũng nhắm vào các máy chủ Linux để thả công cụ đào tiền mã hóa XMRig, chưa kể việc tận dụng một công cụ GitHub có sẵn công khai để xác định các phiên bản Next.js dễ bị tổn thương trước khi bắt đầu cuộc tấn công.
"Dựa trên mô hình nhất quán được quan sát trên nhiều endpoints, bao gồm các thăm dò lỗ hổng, kiểm tra shell code và hạ tầng C2 giống hệt nhau, chúng tôi đánh giá rằng tác nhân đe dọa có khả năng đang tận dụng các công cụ khai thác tự động," các nhà nghiên cứu của Huntress cho biết. "Điều này càng được củng cố bởi các nỗ lực triển khai payloads dành riêng cho Linux trên Windows endpoints, cho thấy quá trình tự động hóa không phân biệt giữa các hệ điều hành mục tiêu."
Mô tả các Payloads
Dưới đây là mô tả ngắn gọn về một số payloads được tải xuống trong các cuộc tấn công này:
- sex.sh, một bash script lấy XMRig 6.24.0 trực tiếp từ GitHub.
- PeerBlight, một backdoor Linux chia sẻ một số đoạn mã với hai họ mã độc RotaJakiro và Pink ra đời vào năm 2021, cài đặt một dịch vụ systemd để đảm bảo persistence và giả mạo thành một tiến trình daemon "ksoftirqd" để trốn tránh sự phát hiện.
- CowTunnel, một reverse proxy khởi tạo kết nối đi ra đến các máy chủ Fast Reverse Proxy (FRP) do kẻ tấn công kiểm soát, hiệu quả trong việc vượt qua các firewall chỉ được cấu hình để giám sát các kết nối đến.
- ZinFoq, một binary ELF trên Linux triển khai một framework hậu khai thác với các khả năng tương tác shell, thao tác tệp, network pivoting và timestomping.
- d5.sh, một dropper script chịu trách nhiệm triển khai framework C2 Sliver.
- fn22.sh, một biến thể của "d5.sh" với cơ chế tự cập nhật bổ sung để tìm nạp phiên bản mới của mã độc và khởi động lại nó.
- wocaosinm.sh, một biến thể của malware Kaiji DDoS Kaiji tích hợp khả năng quản trị từ xa, persistence và evasion.
PeerBlight hỗ trợ các khả năng thiết lập liên lạc với một máy chủ C2 được mã hóa cứng ("185.247.224[.]41:8443"), cho phép nó upload/download/delete các tệp, tạo một reverse shell, sửa đổi quyền truy cập tệp, chạy các binary tùy ý và tự cập nhật. Backdoor này cũng sử dụng một domain generation algorithm (DGA) và mạng BitTorrent Distributed Hash Table (DHT) làm cơ chế C2 dự phòng.
"Khi tham gia mạng DHT, backdoor này tự đăng ký với một ID node bắt đầu bằng tiền tố mã hóa cứng LOLlolLOL," các nhà nghiên cứu giải thích. "Tiền tố 9 byte này đóng vai trò là một định danh cho botnet, với 11 byte còn lại của ID node DHT 20 byte được tạo ngẫu nhiên."
"Khi backdoor nhận được phản hồi DHT chứa danh sách node, nó sẽ quét các node khác có ID bắt đầu bằng LOLlolLOL. Khi tìm thấy một node phù hợp, nó biết đây là một máy bị nhiễm khác hoặc một node do kẻ tấn công kiểm soát có thể cung cấp cấu hình C2."
Huntress cho biết họ đã xác định hơn 60 node duy nhất với tiền tố LOLlolLOL, và thêm rằng nhiều điều kiện phải được đáp ứng để một bot bị nhiễm chia sẻ cấu hình C2 của nó với một node khác: một phiên bản client hợp lệ, cấu hình có sẵn ở phía bot phản hồi và ID giao dịch chính xác.
Ngay cả khi tất cả các điều kiện cần thiết được thỏa mãn, các bot được thiết kế sao cho chúng chỉ chia sẻ cấu hình khoảng một phần ba thời gian dựa trên một kiểm tra ngẫu nhiên, có thể nhằm mục đích giảm nhiễu mạng và tránh bị phát hiện.
ZinFoq, tương tự, gửi beacon đến máy chủ C2 của nó và được trang bị để phân tích cú pháp các lệnh đến để chạy các lệnh bằng "/bin/bash", liệt kê thư mục, đọc hoặc xóa tệp, tải xuống thêm payloads từ một URL được chỉ định, exfiltrate tệp và thông tin hệ thống, khởi động/dừng SOCKS5 proxy, bật/tắt TCP port forwarding, thay đổi thời gian truy cập và sửa đổi tệp, và thiết lập kết nối reverse pseudo terminal (PTY) shell.
ZinFoq cũng thực hiện các bước để xóa lịch sử bash và ngụy trang thành một trong 44 dịch vụ hệ thống Linux hợp pháp (ví dụ: "/sbin/audispd," "/usr/sbin/ModemManager," "/usr/libexec/colord," hoặc "/usr/sbin/cron -f") để che giấu sự hiện diện của nó.
Các tổ chức dựa vào react-server-dom-webpack, react-server-dom-parcel, hoặc react-server-dom-turbopack được khuyên nên cập nhật ngay lập tức, với "khả năng khai thác dễ dàng tiềm tàng và mức độ nghiêm trọng của lỗ hổng," Huntress cho biết.
