Google: pięć chińskich grup wykorzystuje React2Shell (CVE-2025-55182) do dostarczania złośliwego oprogramowania

Wprowadzenie do problemu / definicja luki

3 grudnia 2025 r. ujawniono krytyczną lukę React2Shell (CVE-2025-55182) w React Server Components (RSC) dla React 19.x (pakiety react-server-dom-*). Błąd to pre-auth RCE (CVSS 3.1: 10.0), który umożliwia zdalne wykonanie kodu jednym żądaniem HTTP na uprawnieniach procesu serwera WWW. Dotyczy m.in. aplikacji zbudowanych na Next.js (App Router) oraz innych frameworków używających RSC. Patch dostępny jest w gałęziach 19.0.1/19.1.2/19.2.1+ dla RSC oraz odpowiednich wersjach Next.js.

W skrócie

• Pięć różnych klastrów powiązanych z Chinami zaczęło wykorzystywać React2Shell w kampaniach dostarczania malware w ciągu dni od publikacji luki.
• GTIG (Google Threat Intelligence Group) potwierdza wielką różnorodność ładunków: tuneler MINOCAT, downloader SNOWLIGHT/VSHELL, backdoory COMPOOD i HISONIC, oraz implant ANGRYREBEL.LINUX; w tle także kryptokoparki XMRig.
• AWS raportuje równoległą aktywność grup Earth Lamia i Jackpot Panda oraz szybkie uzbrajanie publicznych PoC.
• CISA dodała CVE-2025-55182 do KEV, skracając termin remediacji do 12 grudnia 2025 r. dla agencji federalnych USA.
• Trend Micro opisuje łańcuch exploitacji oraz chaos wokół PoC (liczne fejki/backdoory), publikując wzorce IOC i artefakty ruchu.

Kontekst / historia / powiązania

Exploitation rozpoczęło się tego samego dnia, w którym ujawniono lukę (3 grudnia). W kolejnych dniach AWS i Google opublikowały niezależne briefy TI, wskazując na szybkie i skoordynowane kampanie aktorów powiązanych z Chinami oraz aktywność przestępczą (kryptokoparki). GTIG odnotowuje też incydenty z udziałem aktorów Iran-nexus, a wcześniej zgłaszano także komponenty przypisywane aktorom Korea Płn. w innych raportach branżowych.

Analiza techniczna / szczegóły luki

Istota błędu. React2Shell wynika z niebezpiecznej deserializacji danych (CWE-502) w protokole React Flight wykorzystywanym przez RSC. Atakujący może przesłać jedno żądanie HTTP (np. multipart/form-data) z odpowiednio uformowanymi „chunkami” RSC, aby osiągnąć arbitrary code execution – bez uwierzytelnienia. Dotknięte pakiety to m.in. react-server-dom-webpack, ...-parcel, ...-turbopack w wersjach 19.0.0, 19.1.0–19.1.1 i 19.2.0.

Eksploatacja w praktyce.

• GTIG podkreśla, że „obecność podatnych pakietów” w systemie często wystarcza do ataku, a formatów payloadów jest wiele. W sieci pojawiło się mnóstwo niepoprawnych lub backdoorowanych PoC, co utrudniało walidację detekcji.
• Trend Micro publikuje minimalne wzorce IOCs dla żądań (np. nagłówek Next-Action, markery $@0, resolved_model, łańcuchy dostępu then:constructor) oraz wskazówki do tworzenia reguł IDS/SIEM.

Ładunki i TTPs (z perspektywy GTIG).

• UNC6600 → MINOCAT (tunelowanie oparte o FRP, utrwalenie przez cron/systemd i modyfikacje shell RC).
• UNC6586 → SNOWLIGHT/VSHELL (C2 m.in. reactcdn.windowserrorapis[.]com).
• UNC6588 → COMPOOD (kamuflowanie jako vim).
• UNC6603 → HISONIC (Go implant z konfiguracją w usługach chmurowych).
• UNC6595 → ANGRYREBEL.LINUX (maskowanie jako sshd, timestomping, czyszczenie historii).

Skala i różnorodność malware. Poza kampaniami wywiadowczymi obserwowano kryptominery (XMRig), backdoory Linux (np. BPFDoor), Sliver/Cobalt Strike, botnety (Kaiji), web-shelle i kradzież sekretów chmurowych.

Praktyczne konsekwencje / ryzyko

• Ekspozycja masowa: RSC/Next.js są szeroko używane; NVD i vendorzy potwierdzają krytyczność i łatwość nadużycia (AV:N/AC:L/PR:N/UI:N).
• Łatwy initial access dla APT i cyberprzestępców – jedna podatna aplikacja = pivot do całej chmury/K8s (kradzież kluczy, konteneryzacja kryptokoparek).
• Szum operacyjny: fala fałszywych PoC generuje hałas w logach i błędne poczucie bezpieczeństwa; utrudnia triage i detekcję.

Rekomendacje operacyjne / co zrobić teraz

1) Patch i inventory (priorytet krytyczny):

• Zaktualizuj RSC do ≥ 19.0.1 / 19.1.2 / 19.2.1; rozważ 19.2.3 w kontekście powiązanych CVE (DoS/Info-Disclosure).
• Zaktualizuj Next.js do wersji usuwających podatność (wg advisory vendorów).
• Przeskanuj SBOM/dependencies – podatność dotyczy także transitive deps.

2) WAF & osłony tymczasowe:

• Wdróż reguły WAF vendorów (np. Google Cloud Armor rule; AWS WAF AWSManagedRulesKnownBadInputsRuleSet 1.24+). Traktuj jako mitigację tymczasową, nie zamiennik patcha.

3) Detekcja & hunting (logi HTTP i host):
Szukaj:

• żądań POST do endpointów akcji z nagłówkami Next-Action/rsc-action-id;
• markerów w treści: "$@0", resolved_model, then:constructor, _formData.get;
• na hostach: nietypowe procesy dziecko Node/Next, tworzenie ~/.systemd-utils, modyfikacje ~/.bashrc, nowe usługi systemd/cron, próby odczytu /etc/passwd.

4) IR playbook (po kompromitacji):

• Izoluj węzły, rotuj wszystkie poświadczenia środowiskowe (CI/CD, chmura, rejestry), sprawdź egress do domen/IP z IOC GTIG (np. reactcdn.windowserrorapis[.]com).
• Poluj na artefakty: MINOCAT, SNOWLIGHT/VSHELL, COMPOOD, HISONIC, ANGRYREBEL.LINUX, skrypty typu sex.sh.

5) Hardening długofalowy:

• Segmentacja i egress filtering dla workloadów webowych.
• Guardrails CI/CD: SCA, SBOM, blokowanie wersji podatnych, enforce patch SLO.
• Zasada least privilege dla tożsamości aplikacyjnych i dostępów do chmury.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z incydentami typu Log4Shell, React2Shell:

• dotyczy warstwy aplikacyjnej JS (RSC/Flight) zamiast Javy;
• jest pre-auth, single-request RCE o bardzo niskiej złożoności (podobny profil ryzyka do Log4Shell z perspektywy impactu, lecz inny stos technologiczny);
• wykazuje szybką adopcję przez wiele klastrów APT jednocześnie, co potwierdzają niezależnie AWS i Google.

Podsumowanie / kluczowe wnioski

• React2Shell to krytyczna luka RCE bez uwierzytelnienia w RSC/React 19.x – patchuj natychmiast i nie polegaj wyłącznie na WAF.
• Potwierdzono co najmniej pięć chińskich klastrów wykorzystujących lukę do dostarczania tunelerów i backdoorów; widoczna jest też aktywność finansowa (kryptominery).
• Wdróż detekcje warstwy HTTP i hunting hostowy wg wzorców (nagłówki, markery, ścieżki utrwalenia).

Źródła / bibliografia

• SecurityWeek: „Google Sees 5 Chinese Groups Exploiting React2Shell for Malware Delivery” (15 grudnia 2025). (SecurityWeek)
• Google Cloud Blog / GTIG: „Multiple Threat Actors Exploit React2Shell (CVE-2025-55182)” (12 grudnia 2025). (Google Cloud)
• AWS Security Blog: „China-nexus cyber threat groups rapidly exploit React2Shell…” (4 grudnia 2025). (Amazon Web Services, Inc.)
• NVD: wpis CVE-2025-55182 (status, CVSS, KEV). (NVD)
• SecurityWeek: „Wide Range of Malware Delivered in React2Shell Attacks” (11 grudnia 2025) + Trend Micro (analiza techniczna, IOC patterns). (SecurityWeek)