Уязвимость CVE-2025-55182, получившая название React2Shell, представляет собой критическую угрозу с максимальной оценкой 10.0 по шкале CVSS. Эта брешь в безопасности затрагивает серверы на базе Linux и среды Next.js, позволяя злоумышленникам выполнять произвольные команды, развертывать вредоносное ПО и осуществлять пост-эксплуатационную деятельность. Основным идентификатором проблемы является CVE-2025-55182, хотя она также связана с CVE-2025-29927 (недостаток Next.js), в то время как идентификатор CVE-2025-66478 был отклонен как дубликат. Масштаб проблемы подтверждается данными The Shadowserver Foundation, согласно которым обнаружено более 111 000 уязвимых IP-адресов, из которых свыше 77 800 находятся в США.
Специалисты Palo Alto Networks Unit 42 зафиксировали использование профессионально разработанного инструмента удаленного доступа KSwapDoor. Джастин Мур, старший менеджер по исследованию угроз, классифицирует это вредоносное ПО как бэкдор, который ранее ошибочно принимали за BPFDoor. KSwapDoor маскируется под легитимный процесс подкачки ядра Linux и использует шифрование военного уровня для связи. Ключевой особенностью инструмента является создание внутренней mesh-сети для взаимодействия между скомпрометированными серверами и обхода блокировок. Бэкдор может находиться в «спящем» режиме, пробуждаясь от невидимого секретного сигнала для обхода брандмауэров, и обладает возможностями интерактивной оболочки и сканирования для бокового перемещения.
Параллельно с этим компания NTT Security выявила развертывание трояна удаленного доступа (RAT) под названием ZnDoor, который активно используется против организаций в Японии с декабря 2023 года. Загрузка полезной нагрузки осуществляется через bash-команду с использованием
Google идентифицировал как минимум пять группировок, связанных с Китаем, которые используют CVE-2025-55182 в своих кампаниях. Группа UNC6600 доставляет утилиту туннелирования MINOCAT, UNC6586 распространяет загрузчик SNOWLIGHT, а UNC6588 использует бэкдор COMPOOD. Группировка UNC6603 применяет обновленный бэкдор HISONIC, написанный на Go, используя Cloudflare Pages и GitLab для маскировки конфигурации. Пятая группа, UNC6595, развертывает Linux-версию вредоносного ПО ANGRYREBEL, также известного как Noodle RAT.
Анализ Microsoft раскрывает тактику злоумышленников, включающую установку обратных оболочек к известным серверам Cobalt Strike и модификацию файла
Целью атак, зафиксированных Microsoft, является хищение конкретных секретов, включая ключи API OpenAI, токены Databricks и учетные данные сервисных аккаунтов Kubernetes. Злоумышленники активно используют инструменты поиска секретов, такие как TruffleHog и Gitleaks, а также Azure CLI (
Итальянская компания Beelzebub сообщила о масштабной разведывательной операции под названием Operation PCPcat, в ходе которой было взломано около 59 128 серверов. Операция описывается как имеющая «промышленные масштабы» и направлена на эксфильтрацию данных. Зараженные системы устанавливают соединение с управляющим сервером по адресу 67.217.57[.]240:888. Вредоносное ПО обеспечивает персистентность, переживая перезагрузки системы, и устанавливает прокси SOCKS5 вместе со сканером React для дальнейшего распространения угрозы.
В рамках Operation PCPcat осуществляется массовое хищение критически важных файлов. Злоумышленники выгружают файлы окружения (
Согласно данным GreyNoise, за последние 24 часа в эксплуатации уязвимости участвовало 547 вредоносных IP-адресов. География атак охватывает США, Индию, Великобританию, Сингапур и Нидерланды. Совокупность данных от различных исследовательских групп подтверждает, что React2Shell является инструментом для глобальных кампаний кибершпионажа и внедрения бэкдоров в корпоративные инфраструктуры по всему миру.
Изображение носит иллюстративный характер
Специалисты Palo Alto Networks Unit 42 зафиксировали использование профессионально разработанного инструмента удаленного доступа KSwapDoor. Джастин Мур, старший менеджер по исследованию угроз, классифицирует это вредоносное ПО как бэкдор, который ранее ошибочно принимали за BPFDoor. KSwapDoor маскируется под легитимный процесс подкачки ядра Linux и использует шифрование военного уровня для связи. Ключевой особенностью инструмента является создание внутренней mesh-сети для взаимодействия между скомпрометированными серверами и обхода блокировок. Бэкдор может находиться в «спящем» режиме, пробуждаясь от невидимого секретного сигнала для обхода брандмауэров, и обладает возможностями интерактивной оболочки и сканирования для бокового перемещения.
Параллельно с этим компания NTT Security выявила развертывание трояна удаленного доступа (RAT) под названием ZnDoor, который активно используется против организаций в Японии с декабря 2023 года. Загрузка полезной нагрузки осуществляется через bash-команду с использованием
wget с удаленного сервера 45.76.155[.]14. Функционал ZnDoor включает широкий спектр команд, таких как shell и interactive_shell для выполнения кода, explorer для просмотра каталогов, explorer_cat для чтения файлов, а также команды для управления файлами explorer_delete, explorer_upload и explorer_download. Троян также поддерживает сбор системной информации через system, изменение временных меток файлов командой change_timefile и управление проксированием через socket_quick_startstreams и переадресацией портов. Google идентифицировал как минимум пять группировок, связанных с Китаем, которые используют CVE-2025-55182 в своих кампаниях. Группа UNC6600 доставляет утилиту туннелирования MINOCAT, UNC6586 распространяет загрузчик SNOWLIGHT, а UNC6588 использует бэкдор COMPOOD. Группировка UNC6603 применяет обновленный бэкдор HISONIC, написанный на Go, используя Cloudflare Pages и GitLab для маскировки конфигурации. Пятая группа, UNC6595, развертывает Linux-версию вредоносного ПО ANGRYREBEL, также известного как Noodle RAT.
Анализ Microsoft раскрывает тактику злоумышленников, включающую установку обратных оболочек к известным серверам Cobalt Strike и модификацию файла
authorized_keys для включения root-доступа. Для уклонения от защиты хакеры используют конечные точки туннелей Cloudflare (.trycloudflare.com). В скомпрометированных системах обнаруживаются инструменты MeshAgent, VShell, EtherRAT, SNOWLIGHT, ShadowPad и криптомайнер XMRig. Особое внимание уделяется краже учетных данных с облачных платформ через Azure Instance М⃰data Service (IMDS), AWS, Google Cloud Platform (GCP) и Tencent Cloud. Целью атак, зафиксированных Microsoft, является хищение конкретных секретов, включая ключи API OpenAI, токены Databricks и учетные данные сервисных аккаунтов Kubernetes. Злоумышленники активно используют инструменты поиска секретов, такие как TruffleHog и Gitleaks, а также Azure CLI (
az) и Azure Developer CLI (azd) в сочетании с пользовательскими скриптами. Эти действия направлены на проведение разведки для дальнейшего бокового перемещения внутри инфраструктуры жертвы. Итальянская компания Beelzebub сообщила о масштабной разведывательной операции под названием Operation PCPcat, в ходе которой было взломано около 59 128 серверов. Операция описывается как имеющая «промышленные масштабы» и направлена на эксфильтрацию данных. Зараженные системы устанавливают соединение с управляющим сервером по адресу 67.217.57[.]240:888. Вредоносное ПО обеспечивает персистентность, переживая перезагрузки системы, и устанавливает прокси SOCKS5 вместе со сканером React для дальнейшего распространения угрозы.
В рамках Operation PCPcat осуществляется массовое хищение критически важных файлов. Злоумышленники выгружают файлы окружения (
.env, .env.local, .env.production, .env.development) и системные переменные через команды printenv и env. Под угрозой находятся SSH-ключи (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/), а также конфигурационные файлы облачных сервисов и систем контроля версий: ~/.aws/credentials, ~/.docker/config.json, ~/.git-credentials и ~/.gitconfig. Также похищаются системные файлы /etc/shadow и /etc/passwd и история последних 100 команд из ~/.bash_history. Согласно данным GreyNoise, за последние 24 часа в эксплуатации уязвимости участвовало 547 вредоносных IP-адресов. География атак охватывает США, Индию, Великобританию, Сингапур и Нидерланды. Совокупность данных от различных исследовательских групп подтверждает, что React2Shell является инструментом для глобальных кампаний кибершпионажа и внедрения бэкдоров в корпоративные инфраструктуры по всему миру.
