Googleは、最近公表されたReact2Shell脆弱性を攻撃に悪用している中国関連の脅威グループ5つを観測した。
React2Shell(正式にはCVE-2025-55182として追跡)は、Reactユーザーインターフェースライブラリのバージョン19を使用するシステム、特にReact Server Components(RSC)を利用しているインスタンスに影響する。Reactに加えて、CVE-2025-55182はNext.js、Waku、React Router、またはRedwoodSDKを使用する多くのアプリケーションにも影響する可能性がある。
CVE-2025-55182は、特別に細工されたHTTPリクエストを介して未認証のリモートコード実行に悪用可能な重大な脆弱性である。
React2Shellは12月3日に公表され、悪用は同日から始まった。
AWSは、Earth LamiaおよびJackpot Pandaとして追跡されている中国の脅威アクターが、公表直後にこのReact脆弱性の悪用を開始したと報告した。
Google Threat Intelligence Group(GTIG)もReact2Shell攻撃についてウェブを監視しており、週末に報告したところによると、少なくとも他に5つの異なる中国関連の脅威グループが、この脆弱性の悪用を通じてマルウェアを配布しているのを確認したという。
GTIGはEarth LamiaをUNC5454として追跡しているが、同グループに関連する可能性のある攻撃について、観測した情報は共有していない。
その代わりに、GTIGは他の5グループが実施した攻撃の簡単な説明を共有した。そのうちの1つはUNC6600として追跡されているスパイ活動クラスターで、React2Shellを悪用してMinocatというトンネラーを配布している。
UNC6586と特定されたグループは、React2Shellを使用してSnowlightというダウンローダーを展開しているのが確認されており、これは正規ファイルに偽装した他のペイロードを配布するために利用されている。
UNC6588はCVE-2025-55182を悪用してCompoodというバックドアをダウンロードした。これは通常、中国のハッカーがスパイ活動キャンペーンで使用してきたものだ。しかし、このケースではGTIGは攻撃者の目的を特定できなかった。
UNC6603はHisonicというバックドアを配布し、UNC6595はAngryrebel.Linuxとして追跡されているマルウェアを展開した。
金銭目的のサイバー犯罪者を含む多くの脅威アクターが、React2Shellを悪用して幅広い種類のマルウェアを配布しているのが観測されている。
中国および北朝鮮の脅威アクターによる悪用は以前に報告されていたが、Googleはイラン関連グループによる攻撃も確認したと述べた。
新たなReactの脆弱性
React2Shellの公表以降、他に3つのReactの脆弱性の存在が明らかになった。
そのうち2つは「高深刻度」と評価されているが、悪用できるのはサービス拒否(DoS)に限られる。これらの問題はCVE-2025-55184およびCVE-2025-67779として追跡されている。
3つ目の問題はCVE-2025-55183として識別されており、中程度の深刻度の欠陥で、ソースコードの露出につながる可能性がある。
