Hai nhóm tin tặc có liên hệ với Trung Quốc đã bị phát hiện vũ khí hóa lỗ hổng bảo mật mới được tiết lộ trong React Server Components (RSC) chỉ vài giờ sau khi thông tin được công bố.
Lỗ hổng được đề cập là CVE-2025-55182 (điểm CVSS: 10.0), còn được gọi là React2Shell, cho phép unauthenticated remote code execution. Nó đã được khắc phục trong các phiên bản React 19.0.1, 19.1.2 và 19.2.1.
Theo một báo cáo mới được chia sẻ bởi Amazon Web Services (AWS), hai nhóm tấn công có liên hệ với Trung Quốc là Earth Lamia và Jackpot Panda đã bị phát hiện đang cố gắng khai thác lỗ hổng bảo mật nghiêm trọng tối đa này.
"Phân tích của chúng tôi về các nỗ lực khai thác trong hạ tầng honeypot AWS MadPot đã xác định hoạt động khai thác từ các địa chỉ IP và hạ tầng có liên hệ lịch sử với các tác nhân đe dọa liên kết với nhà nước Trung Quốc," CJ Moses, CISO của Amazon Integrated Security, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Cụ thể, gã khổng lồ công nghệ này cho biết họ đã xác định hạ tầng liên quan đến Earth Lamia, một nhóm liên kết với Trung Quốc đã bị quy kết các cuộc tấn công khai thác lỗ hổng nghiêm trọng của SAP NetWeaver (CVE-2025-31324) vào đầu năm nay.
Nhóm tin tặc này đã nhắm mục tiêu vào các lĩnh vực tài chính, logistics, bán lẻ, các công ty IT, các trường đại học và các tổ chức chính phủ trên khắp Mỹ Latinh, Trung Đông và Đông Nam Á.
Các nỗ lực tấn công cũng bắt nguồn từ hạ tầng liên quan đến một tác nhân đe dọa mạng khác có liên hệ với Trung Quốc, được biết đến với tên gọi Jackpot Panda, nhóm này chủ yếu nhắm vào các thực thể tham gia hoặc hỗ trợ các hoạt động cờ bạc trực tuyến ở Đông và Đông Nam Á.
Jackpot Panda, theo CrowdStrike, được đánh giá là hoạt động từ ít nhất năm 2020 và đã nhắm mục tiêu vào các mối quan hệ bên thứ ba đáng tin cậy nhằm triển khai các implant độc hại và giành quyền truy cập ban đầu. Đáng chú ý, tác nhân đe dọa này đã liên quan đến sự xâm nhập chuỗi cung ứng của một ứng dụng trò chuyện có tên Comm100 vào tháng 9 năm 2022. Hoạt động này được ESET theo dõi là Operation ChattyGoblin.
Sau đó, một nhà thầu hack Trung Quốc, I-Soon, có thể đã tham gia vào cuộc supply chain attack, dựa trên các infrastructure overlaps. Điều thú vị là các cuộc tấn công do nhóm này thực hiện vào năm 2023 chủ yếu nhắm vào các nạn nhân nói tiếng Trung, cho thấy khả năng giám sát trong nước.
"Bắt đầu từ tháng 5 năm 2023, kẻ tấn công đã sử dụng một trojanized installer cho CloudChat, một ứng dụng trò chuyện có trụ sở tại Trung Quốc phổ biến trong các cộng đồng cờ bạc bất hợp pháp nói tiếng Trung ở Trung Quốc Đại lục," CrowdStrike cho biết trong Báo cáo Đe dọa Toàn cầu được công bố năm ngoái.
"Trojanized installer được phân phối từ trang web của CloudChat chứa giai đoạn đầu tiên của một quy trình gồm nhiều bước mà cuối cùng triển khai XShade – một implant mới với mã trùng lặp với implant CplRAT độc đáo của Jackpot Panda."
Amazon cho biết họ cũng phát hiện các tác nhân đe dọa khai thác CVE-2025-55182 cùng với các lỗ hổng N-day khác, bao gồm một lỗ hổng trong NUUO Camera (CVE-2025-1338, điểm CVSS: 7.3), cho thấy những nỗ lực rộng hơn nhằm quét internet để tìm các hệ thống chưa được vá.
Hoạt động được quan sát bao gồm các nỗ lực chạy các lệnh khám phá (ví dụ: whoami), ghi tệp ("/tmp/pwned.txt") và đọc các tệp chứa thông tin nhạy cảm (ví dụ: "/etc/passwd").
"Điều này cho thấy một phương pháp tiếp cận có hệ thống: các tác nhân đe dọa theo dõi các tiết lộ lỗ hổng mới, nhanh chóng tích hợp các exploit công khai vào hạ tầng quét của chúng và tiến hành các chiến dịch rộng lớn trên nhiều Common Vulnerabilities and Exposures (CVE) đồng thời để tối đa hóa cơ hội tìm thấy các mục tiêu dễ bị tổn thương," Moses nói.
