Lỗ hổng bảo mật được biết đến với tên React2Shell đang bị các tác nhân đe dọa khai thác để phát tán các họ mã độc như KSwapDoor và ZnDoor, theo phát hiện của Palo Alto Networks Unit 42 và NTT Security.
Justin Moore, quản lý cấp cao về nghiên cứu tình báo mối đe dọa tại Palo Alto Networks Unit 42, cho biết: "KSwapDoor là một công cụ remote access được thiết kế chuyên nghiệp với mục đích ẩn mình."
"Nó xây dựng một mạng lưới dạng lưới (mesh network) nội bộ, cho phép các máy chủ bị xâm nhập giao tiếp với nhau và tránh bị chặn bởi các biện pháp bảo mật. Nó sử dụng mã hóa cấp độ quân sự để che giấu thông tin liên lạc và đáng báo động nhất, có chế độ 'sleeper' cho phép kẻ tấn công vượt qua tường lửa bằng cách đánh thức mã độc bằng một tín hiệu bí mật, vô hình."
Công ty an ninh mạng này lưu ý rằng nó trước đây đã bị phân loại nhầm là BPFDoor, đồng thời cho biết thêm rằng backdoor Linux này cung cấp khả năng interactive shell, command execution, file operations và lateral movement scanning. Nó cũng giả mạo một daemon swap của nhân Linux hợp pháp để tránh bị phát hiện.
Trong một diễn biến liên quan, NTT Security cho biết các tổ chức ở Nhật Bản đang bị nhắm mục tiêu bởi các cuộc tấn công mạng khai thác React2Shell để triển khai ZnDoor, một mã độc được đánh giá đã bị phát hiện trong thực tế kể từ tháng 12 năm 2023. Chuỗi tấn công bao gồm việc chạy một lệnh bash để lấy payload từ một máy chủ từ xa (45.76.155[.]14) bằng wget và thực thi nó.
Là một remote access trojan, nó liên hệ với cùng một hạ tầng do tác nhân đe dọa kiểm soát để nhận và thực thi các lệnh trên máy chủ. Một số lệnh được hỗ trợ được liệt kê dưới đây -
- shell, để thực thi một command
- interactive_shell, để khởi chạy một interactive shell
- explorer, để lấy danh sách các directories
- explorer_cat, để đọc và hiển thị một file
- explorer_delete, để xóa một file
- explorer_upload, để tải một file từ server
- explorer_download, để gửi files đến server
- system, để thu thập thông tin system
- change_timefile, để thay đổi timestamp của một file
- socket_quick_startstreams, để khởi động một SOCKS5 proxy
- start_in_port_forward, để khởi động port forwarding
- stop_in_port, để dừng port forwarding
Các nhóm tác nhân đe dọa khai thác CVE-2025-55182
Thông tin được tiết lộ khi lỗ hổng, được theo dõi là CVE-2025-55182 (CVSS score: 10.0), đã bị nhiều tác nhân đe dọa khai thác, Google xác định ít nhất năm nhóm liên kết với Trung Quốc đã vũ khí hóa lỗ hổng này để phát tán một loạt payload -
- UNC6600 để phát tán một tunneling utility có tên MINOCAT
- UNC6586 để phát tán một downloader có tên SNOWLIGHT
- UNC6588 để phát tán một backdoor có tên COMPOOD
- UNC6603 để phát tán một phiên bản cập nhật của Go backdoor có tên HISONIC sử dụng Cloudflare Pages và GitLab để truy xuất cấu hình được mã hóa và hòa lẫn vào hoạt động mạng hợp pháp
- UNC6595 để phát tán một phiên bản Linux của ANGRYREBEL (hay còn gọi là Noodle RAT)
Microsoft, trong cảnh báo của riêng mình về CVE-2025-55182, cho biết các tác nhân đe dọa đã tận dụng lỗ hổng để chạy các lệnh tùy ý cho post-exploitation, bao gồm thiết lập reverse shell đến các máy chủ Cobalt Strike đã biết, sau đó thả các công cụ remote monitoring and management (RMM) như MeshAgent, sửa đổi tệp authorized_keys và bật quyền root login.
Một số payload được triển khai trong các cuộc tấn công này bao gồm VShell, EtherRAT, SNOWLIGHT, ShadowPad và XMRig. Các cuộc tấn công cũng có đặc điểm là sử dụng các Cloudflare Tunnel endpoint ("*.trycloudflare.com") để trốn tránh các biện pháp phòng thủ an ninh, cũng như thực hiện reconnaissance các môi trường bị xâm nhập để tạo điều kiện cho lateral movement và credential theft.
Hoạt động credential harvesting, nhà sản xuất Windows cho biết, đã nhắm mục tiêu vào các Azure Instance Metadata Service (IMDS) endpoint cho Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) và Tencent Cloud với mục tiêu cuối cùng là thu thập các identity token để đào sâu hơn vào các cơ sở hạ tầng đám mây.
Nhóm Nghiên cứu Bảo mật Microsoft Defender cho biết: "Kẻ tấn công cũng triển khai các công cụ phát hiện bí mật như TruffleHog và Gitleaks, cùng với các script tùy chỉnh để trích xuất một số bí mật khác nhau. Các nỗ lực thu thập AI và cloud-native credentials, như OpenAI API keys, Databricks token và Kubernetes service‑account credentials, cũng được quan sát thấy. Azure Command-Line Interface (CLI) (az) và Azure Developer CLI (azd) cũng được sử dụng để lấy token."
Chiến dịch PCPcat của Beelzebub và khai thác Next.js
Trong một chiến dịch khác được Beelzebub mô tả chi tiết, các tác nhân đe dọa đã được quan sát khai thác các lỗ hổng trong Next.js, bao gồm CVE-2025-29927 và CVE-2025-66478 (cùng là lỗi React2Shell trước khi nó bị từ chối do trùng lặp), để cho phép trích xuất có hệ thống các credentials và dữ liệu nhạy cảm -
- .env, .env.local, .env.production, .env.development
- System environment variables (printenv, env)
- SSH keys (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*)
- Cloud credentials (~/.aws/credentials, ~/.docker/config.json)
- Git credentials (~/.git-credentials, ~/.gitconfig)
- Command history (100 lệnh gần nhất từ ~/.bash_history)
- System files (/etc/shadow, /etc/passwd)
Mã độc cũng tiến hành tạo persistence trên máy chủ để tồn tại qua các lần khởi động lại hệ thống, cài đặt SOCKS5 proxy, thiết lập reverse shell tới "67.217.57[.]240:888" và cài đặt một React scanner để thăm dò internet nhằm lây lan rộng hơn.
Hoạt động này, được đặt tên mã là Operation PCPcat, ước tính đã xâm phạm 59.128 máy chủ. Công ty Ý cho biết: "Chiến dịch cho thấy các đặc điểm của hoạt động tình báo quy mô lớn và exfiltration dữ liệu ở quy mô công nghiệp."
Shadowserver Foundation hiện theo dõi hơn 111.000 địa chỉ IP dễ bị tấn công React2Shell, với hơn 77.800 trường hợp ở Hoa Kỳ, tiếp theo là Đức (7.500), Pháp (4.000) và Ấn Độ (2.300). Dữ liệu từ GreyNoise cho thấy có 547 địa chỉ IP độc hại từ Hoa Kỳ, Ấn Độ, Vương quốc Anh, Singapore và Hà Lan tham gia vào các nỗ lực khai thác trong 24 giờ qua.
