Две хакерские группировки, связанные с Китаем, начали использовать критическую брешь в безопасности React Server Components (RSC) спустя всего несколько часов после ее публичного раскрытия. Информация об этих атаках поступила из отчета Amazon Web Services (AWS) и Amazon Integrated Security, основанного на данных их инфраструктуры ханипотов (ловушек) MadPot. CJ Moses, директор по информационной безопасности (CISO) Amazon Integrated Security, подтвердил передачу этих сведений изданию The Hacker News, отметив высокую скорость реакции злоумышленников на появление новых эксплойтов.
Уязвимость, получившая название React2Shell, зарегистрирована под идентификатором CVE-2025-55182 и имеет максимальный рейтинг серьезности CVSS 10.0. Проблема заключается в возможности удаленного выполнения кода (RCE) без аутентификации. Для устранения угрозы разработчики выпустили обновления, и защищенными считаются версии React 19.0.1, 19.1.2 и 19.2.1. Однако злоумышленники оперативно интегрировали эксплойты в свои кампании сканирования, стремясь поразить непропатченные системы.
В ходе атак хакеры применяли команды разведки, такие как
Первая из идентифицированных групп, Earth Lamia, классифицируется как прогосударственный субъект угрозы, связанный с Китаем. Инфраструктура этой группы была выявлена через ханипоты AWS MadPot. Earth Lamia атакует широкий спектр секторов, включая финансовые услуги, логистику, ритейл, IT-компании, университеты и правительственные организации. География их атак охватывает Латинскую Америку, Ближний Восток и Юго-Восточную Азию. Ранее в этом году группа уже была замечена в использовании критической уязвимости SAP NetWeaver (CVE-2025-31324).
Вторая группа, известная как Jackpot Panda, активна по меньшей мере с 2020 года, согласно оценкам компании CrowdStrike. Основными целями этого актора являются организации, участвующие в операциях онлайн-гемблинга в Восточной и Юго-Восточной Азии, или поддерживающие их. Jackpot Panda специализируется на компрометации цепочек поставок и доверенных третьих сторон для получения первичного доступа. Существуют доказательства, указывающие на участие китайского хакерского подрядчика I-Soon, основанные на пересечениях в используемой инфраструктуре. Компания ESET отслеживает деятельность этой группы под названием «Operation ChattyGoblin».
История атак Jackpot Panda включает инцидент в сентябре 2022 года, связанный с компрометацией цепочки поставок приложения для чата Comm100. В 2023 году деятельность группы сместилась в сторону китайскоязычных жертв, что может указывать на задачи по внутреннему наблюдению. В частности, в мае 2023 года хакеры использовали троянизированный установщик приложения CloudChat, популярного среди нелегальных китайскоязычных гемблинг-сообществ в материковом Китае.
Технический анализ вредоносного ПО, развернутого через поддельный установщик CloudChat, выявил использование нового импланта под названием XShade. Исследователи обнаружили, что код XShade содержит фрагменты, совпадающие с уникальным имплантом CplRAT, который ранее атрибутировался исключительно группе Jackpot Panda. Это подтверждает преемственность инструментов и методов, используемых данной кибергруппировкой для достижения своих целей.
Тактика обеих групп демонстрирует систематический мониторинг раскрытия уязвимостей и мгновенную адаптацию арсенала. Использование React2Shell наряду со старыми уязвимостями позволяет злоумышленникам максимизировать площадь атаки, эксплуатируя как новейшие, так и известные, но не исправленные ошибки в программном обеспечении жертв. Данные AWS подчеркивают критическую важность немедленного обновления компонентов React до безопасных версий.
Изображение носит иллюстративный характер
Уязвимость, получившая название React2Shell, зарегистрирована под идентификатором CVE-2025-55182 и имеет максимальный рейтинг серьезности CVSS 10.0. Проблема заключается в возможности удаленного выполнения кода (RCE) без аутентификации. Для устранения угрозы разработчики выпустили обновления, и защищенными считаются версии React 19.0.1, 19.1.2 и 19.2.1. Однако злоумышленники оперативно интегрировали эксплойты в свои кампании сканирования, стремясь поразить непропатченные системы.
В ходе атак хакеры применяли команды разведки, такие как
whoami, для определения прав доступа в скомпрометированных системах. Также были зафиксированы операции с файловой системой: запись файлов, например "/tmp/pwned.txt", и чтение конфиденциальной информации, включая "/etc/passwd". Одновременно с эксплуатацией React2Shell, атакующие использовали уязвимости N-day, в частности, нацеливаясь на камеры NUUO через брешь CVE-2025-1338, имеющую оценку CVSS 7.3. Первая из идентифицированных групп, Earth Lamia, классифицируется как прогосударственный субъект угрозы, связанный с Китаем. Инфраструктура этой группы была выявлена через ханипоты AWS MadPot. Earth Lamia атакует широкий спектр секторов, включая финансовые услуги, логистику, ритейл, IT-компании, университеты и правительственные организации. География их атак охватывает Латинскую Америку, Ближний Восток и Юго-Восточную Азию. Ранее в этом году группа уже была замечена в использовании критической уязвимости SAP NetWeaver (CVE-2025-31324).
Вторая группа, известная как Jackpot Panda, активна по меньшей мере с 2020 года, согласно оценкам компании CrowdStrike. Основными целями этого актора являются организации, участвующие в операциях онлайн-гемблинга в Восточной и Юго-Восточной Азии, или поддерживающие их. Jackpot Panda специализируется на компрометации цепочек поставок и доверенных третьих сторон для получения первичного доступа. Существуют доказательства, указывающие на участие китайского хакерского подрядчика I-Soon, основанные на пересечениях в используемой инфраструктуре. Компания ESET отслеживает деятельность этой группы под названием «Operation ChattyGoblin».
История атак Jackpot Panda включает инцидент в сентябре 2022 года, связанный с компрометацией цепочки поставок приложения для чата Comm100. В 2023 году деятельность группы сместилась в сторону китайскоязычных жертв, что может указывать на задачи по внутреннему наблюдению. В частности, в мае 2023 года хакеры использовали троянизированный установщик приложения CloudChat, популярного среди нелегальных китайскоязычных гемблинг-сообществ в материковом Китае.
Технический анализ вредоносного ПО, развернутого через поддельный установщик CloudChat, выявил использование нового импланта под названием XShade. Исследователи обнаружили, что код XShade содержит фрагменты, совпадающие с уникальным имплантом CplRAT, который ранее атрибутировался исключительно группе Jackpot Panda. Это подтверждает преемственность инструментов и методов, используемых данной кибергруппировкой для достижения своих целей.
Тактика обеих групп демонстрирует систематический мониторинг раскрытия уязвимостей и мгновенную адаптацию арсенала. Использование React2Shell наряду со старыми уязвимостями позволяет злоумышленникам максимизировать площадь атаки, эксплуатируя как новейшие, так и известные, но не исправленные ошибки в программном обеспечении жертв. Данные AWS подчеркивают критическую важность немедленного обновления компонентов React до безопасных версий.
