Googleによると、広く使われているReact JavaScriptライブラリに存在する最大深刻度の欠陥「React2Shell」を狙い、中国のスパイ集団が少なくともさらに5組、イラン関連のならず者、そして金銭目的の犯罪者が新たに攻撃を行っている。
認証不要の攻撃者は、CVE-2025-55182として追跡されているこの欠陥を悪用してリモートでコードを実行できる。チョコレート工場(Google)の脅威ハンターは、複数のグループがこの脆弱性を利用してバックドア、トンネラー、暗号資産マイナーを展開していると述べた。
Reactのメンテナーは12月3日にこの重大なバグを公表し、悪用はほぼ直ちに始まった。Amazonの脅威インテリジェンスチームによれば、Earth LamiaやJackpot Pandaを含む中国政府系の部隊が、公表から数時間以内にこのセキュリティホールを攻撃し始めたという。Palo Alto NetworksのUnit 42の対応チームは、被害者数を複数業種にまたがる50以上の組織と見積もっており、北朝鮮の攻撃者もこの欠陥を悪用している。
Googleは金曜遅くの報告で、少なくとも他の5つの中国(PRC)系とみられるスパイ集団もReact2Shellを悪用したと述べた。さらに、不正な暗号資産マイニングのためにXMRigを展開した犯罪者や、「イラン・ネクサスのアクター」も含まれるという。ただし報告書は、イラン関連グループが誰で、悪用後に何をしているのかについて追加の詳細を示していない。
研究者らは「GTIGはまた、CVE-2025-55182に関する多数の議論をアンダーグラウンドフォーラムで確認しており、脅威アクターがスキャンツールへのリンク、概念実証(PoC)コード、そしてこれらのツールを使用した経験を共有しているスレッドも含まれる」と記した。
北京の支援を受けているとみられるスパイ集団には、感染システムへの永続化を確立するためにMinocatトンネラーを配布する目的でこの脆弱性を悪用するUNC6600や、Snowlightバックドアを用いるUNC6586が含まれる。UNC6586のケースでは、Googleの脅威インテリジェンスグループが、Snowlightが追加ペイロードを取得するためにC2(コマンド&コントロール)インフラへHTTP GETリクエストを送り、正規ファイルを装っている様子を確認した。
さらに、GoogleがUNC6588として追跡する別の中国の諜報グループはCVE-2025-55182を悪用した後、Compoodバックドアをダウンロードした。一方UNC6603はこの脆弱性を使って更新版のHisonicバックドアを展開した。「テレメトリは、このアクターがクラウドインフラ、とりわけアジア太平洋(APAC)地域におけるAWSおよびAlibaba Cloudのインスタンスを標的にしていることを示している」とGoogle Threat Intelligenceは述べた。
最後に、中国ネクサスのグループUNC6595はこの欠陥を悪用してAngryrebel.Linuxを展開しており、主に国際的な仮想専用サーバー(VPS)上でホストされるインフラを標的としている。
最初のReactのバグであるCVE-2025-55182に加えて、先週は追加の脆弱性が3件公表された。CVE-2025-55183、CVE-2025-55184、CVE-2025-67779だ。これらは攻撃者がサービス拒否(DoS)状態を強制し、場合によってはServer Functionのソースコードを漏えいさせる可能性がある。
これら4つの脆弱性のいずれかによる最悪の事態を避けるため、脆弱なReact Server Componentsにパッチを適用し、Googleの報告書に記載された侵害指標(IOC)への外向き接続がないかに注意してネットワークトラフィックを監視すること。特に、Webサーバープロセスによって開始されるwgetまたはcURLコマンドに注目すべきだ。
Googleの脅威インテリジェンスチームはまた、$HOME/.systemd-utilsのような新規作成された隠しディレクトリ、ntpclientを含むプロセスの不正な終了、そして$HOME/.bashrcのようなシェル設定ファイルへの悪意ある実行ロジックの注入を探索することも推奨している。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/15/react2shell_flaw_china_iran/
