サイバーセキュリティ研究者は、重大な React2Shell 脆弱性(CVE-2025-55182)を悪用して複数のポストエクスプロイト用ペイロードを展開する、高度な Linux マルウェアキャンペーンを明らかにしました。
新たに特定されたバックドア「PeerBlight」は、BitTorrent の DHT ネットワークを活用し、堅牢なコマンド&コントロール通信を実現しています。
CVE-2025-55182 は 2025 年 12 月 3 日に公開された、React Server Components に影響する認証不要の重大なリモートコード実行脆弱性で、CVSS スコアは 10.0 です。
この脆弱性は、React Flight プロトコル処理における安全でないデシリアライゼーションに起因しており、攻撃者は悪意ある 1 件の HTTP リクエストだけで任意コードを実行できます。
脅威アクターは 2025 年 12 月 4 日以降、この脆弱性を積極的に悪用しており、建設業やエンターテインメント業界を含む複数セクターの組織が標的となっています。
これらの悪用キャンペーンでは、自動スキャンと手動のポストエクスプロイト活動の両方が確認されており、攻撃者は侵害した環境に応じて複数のマルウェアファミリーを展開しています。
PeerBlight:BitTorrent を利用したバックドア
これらのキャンペーンで最も注目すべき発見は PeerBlight であり、ユニークな耐障害性を備えたフル機能のコマンド&コントロールフレームワークを実装した Linux バックドアです。
攻撃者はシェルコード実行をテストするためのコマンド(echo $((41*271)))を実行し、その後にユーザーコンテキストやシステム情報を列挙するための “whoami” や “hostname” などの探索コマンドを実行しました。
このマルウェアは BitTorrent の分散ハッシュテーブル(DHT)ネットワークをフォールバック用 C2 メカニズムとして利用しており、従来のドメインテイクダウンによる無効化が極めて困難になっています。
PeerBlight は権限レベルに応じて複数のメカニズムで永続化を確立します。root 権限で実行された場合、「systemd-agent.service」という名前の systemd サービスをインストールし、正規のシステムデーモンに偽装します。
非 root ユーザーの場合、systemd の PrivateTmp 命名規則を模した隠しディレクトリを作成し、自身を「softirq」としてコピーします。
このバックドアは、メモリ上の argv を上書きして「[ksoftirqd]」として表示させることで、高度なプロセス偽装を実装しており、正規のカーネルソフト割り込みハンドラースレッドを装います。
初回実行時、PeerBlight はメモリ上の argv[0] を上書きして元のパス(例:/tmp/backdoor)を隠し、代わりに [ksoftirqd] に置き換えます。
この手法により /proc/pid/cmdline と /proc/pid/comm の両方が書き換えられ、さまざまなシステム監視ツール上で悪意あるプロセスが正規プロセスのように見えるようになります。
BitTorrent DHT インフラストラクチャ
PeerBlight の最も革新的な機能は、BitTorrent DHT を利用したフォールバックメカニズムです。バックドアは router.bittorrent.com、router.utorrent.com、dht.transmissionbt.com などの正規 BitTorrent インフラに接続することで DHT へのブートストラップを行います。
ネットワークに参加すると、ハードコードされたプレフィックス「LOLlolLOL」で始まるノード ID を登録し、これがボットネット識別子として機能します。
BitTorrent DHT ネットワークのアクティブスキャンにより、LOLlolLOL プレフィックスを持つ 60 を超えるユニークなノードが、世界中の家庭用 ISP に分散して存在することが確認されました。
設定配布プロトコルでは、有効なクライアントバージョンの検証が必須となっており、さらに RSA 署名検証を行うことで、偽の設定を用いた第三者によるボットネット乗っ取りを防いでいます。
研究者は DHT ネットワークから 2025 年 10 月 30 日付のライブ設定を抽出することに成功し、Tencent Cloud インフラ上にホストされた 49.51.230[.]175:9898 のアクティブなC2 サーバーを特定しました。これにより、このキャンペーンがピアツーピアネットワークを通じて最新の C2 アドレスを継続的に配布していることが確認されました。
このツールは、ネットワークピボット用の SOCKS5 プロキシ、汎用ポートフォワーディング用の TCP プロキシ、トラフィック操作機能を備えた HTTP プロキシ、ファイル転送用の FTP プロキシ、そして RDP 接続をトンネリングする MSTSC など、包括的なリモートアクセス機能を提供します。
telnet サーバーコンポーネントはデフォルトでポート 2323 上で起動し、認証済み攻撃者に対してインタラクティブなシェルアクセスを提供します。
セキュリティチームはまた、インタラクティブなリバースシェル、ネットワークピボット用のSOCKS5 プロキシ、およびアンチフォレンジックのためのタイムスタンピング機能を備えた Go 製ポストエクスプロイトインプラント「ZinFoq」も特定しました。
このマルウェアは、hex エンコードされたペイロードを使用して api.qtss[.]cc 上の C2 インフラと通信し、User-Agent 文字列を通じて macOS 上の Safari を装います。
DDoS 機能と永続化メカニズム、さらにハードウェアウォッチドッグの悪用を組み合わせた Kaiji ボットネットの亜種も観測されました。
このマルウェアは /dev/misc/watchdog を開き、ヌルバイトを書き込み続けることで、ペイロードが停止させられた場合にシステムを強制再起動させ、その後に永続化メカニズムによって自動的に再起動されるようにします。
緩和策
CVE-2025-55182 は、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack パッケージのバージョン 19.0、19.1.0、19.1.1、19.2.0 に影響します。
組織は直ちに、修正版である 19.0.1、19.1.2、または 19.2.1 へアップデートする必要があります。下流の CVE-2025-66478(現在は重複として却下)によって影響を受ける Next.js アプリケーション向けには、Vercel が修正済みの react2shell パッケージをリリースしています。
セキュリティチームは、不正な systemd サービス、[ksoftirqd] のようなカーネルスレッドを装うプロセス、予期しない BitTorrent DHT トラフィック、および外向きの FRP 接続など、悪用の兆候を監視すべきです。
ネットワーク防御担当者は、リバースプロキシトンネリングを防ぐために出口フィルタリングを実装し、185.247.224[.]41:8443、49.51.230[.]175:9898 および関連ドメインなど、特定された C2 インフラへの接続を監視する必要があります。
翻訳元: https://gbhackers.com/peerblight-linux/
