中国と関連付けられた2つのハッキンググループが、React Server Components に存在する重大な脆弱性を公開からわずか数時間で悪用し始めました。この欠陥 ― CVE-2025-55182(最大スコア10)― はすでに React2Shell と名付けられており、いかなる認証も不要で、脆弱なサーバー上で任意コードのリモート実行を可能にします。問題は React 19.0.1、19.1.2、19.2.1 で修正されていますが、未パッチのプロジェクトは依然として攻撃者にとって容易な標的のままです。
Amazon Web Services のレポートによると、React2Shell を兵器化しようとする試みは、AWS のハニーポット基盤「MadPot」内で検知されました。ログからは、過去に中国の国家支援グループと関連付けられたIPアドレスやサーバーからの活動が明らかになりました。アナリストは2つの明確に異なるキャンペーンを特定しており、それぞれ Earth Lamia と Jackpot Panda として追跡しています。
Earth Lamia は、中国と連携するグループとされ、以前には SAP NetWeaver の重大な脆弱性(CVE-2025-31324)を悪用したと非難されています。標的は幅広く、金融機関、物流企業、小売、ITセクター、大学、そしてラテンアメリカ、中東、東南アジア各地の政府機関にまで及びます。
一方で Jackpot Panda は、伝統的にオンラインギャンブルに関わる、あるいはその市場を支える東アジアおよび東南アジアの組織に焦点を当ててきました。CrowdStrike によれば、このグループは少なくとも2020年から活動しており、しばしば信頼された第三者を経由して被害者環境に侵入します。侵害されたパートナーチェーンを悪用して悪意あるインプラントを設置し、初期アクセスを獲得する手口が確認されています。
セキュリティは任意ではありません。必須です。
購読してください。
Jackpot Panda はまた、2022年に発生した Comm100 チャットソフトウェアのサプライチェーン侵害にも関与しているとされており、この作戦は ESET によって ChattyGoblin として追跡されています。その後の証拠から、運用インフラの重複に基づき、中国の請負企業 I-Soon が関与していた可能性が示唆されました。しかし2023年までには、多くの攻撃が中国語話者のユーザーへとシフトしており、国内監視を目的とした可能性もほのめかされています。
研究者らはさらに、あるキャンペーンでは攻撃者が CloudChat のトロイの木馬化されたインストーラーを使用していたと指摘しています。CloudChat は、中国語圏の地下ギャンブルコミュニティで人気のメッセージングアプリです。このインストーラーはアプリ公式サイトを通じて配布されており、多段階のチェーンを開始して XShade と名付けられた新たなインプラントを展開します。XShade は、Jackpot Panda の代表的なマルウェア CplRAT とコード系譜を共有しています。
Amazon はまた、React2Shell に加え、同じ攻撃者が既知の他の脆弱性 ― その中には NUUO 製カメラの欠陥(CVE-2025-1338、CVSS 7.3)も含まれる ― を積極的に悪用していると報告しています。これは、オペレーターたちが単一の侵入経路に固執しているのではなく、インターネット全体を対象に未パッチのシステムを大規模スキャンし、複数のCVEを同一の攻撃波に連鎖させていることを示しています。
観測された悪用試行では、攻撃者は whoami のような基本的な偵察コマンドを実行し、/tmp/pwned.txt のようなファイルを作成し、/etc/passwd を含む、機密情報を含み得るシステムファイルの読み取りを試みていました。こうした行為は、より深い侵入へと進む前に、エクスプロイトが成功したかどうかを判断するのに役立ちます。
Amazon の最高セキュリティ責任者(CSO)CJ Moses によれば、このパターンは確立された高度なグループに典型的なものです。彼らは脆弱性情報の公開を継続的に監視し、新たに公開されたエクスプロイトを素早くスキャン用フレームワークに統合し、複数の欠陥を同時に狙う大規模キャンペーンを展開して、保護されていない標的を見つけ出す可能性を最大化します。React を利用するサイトやサービスの運営者にとって結論は明白です。アプリケーションが React Server Components に依存しており、まだ修正版にアップデートされていない場合、直ちにアップグレードし、侵害の兆候について厳重に監視しなければなりません。
