広く利用されているJavaScriptライブラリReactに存在する重大な脆弱性「React2Shell」が、すでに大規模に悪用されています。Googleによると、新たに特定された少なくとも5つの中国系スパイ活動グループ、「イラン関連」の脅威アクター、そして一般的なサイバー犯罪者が攻撃の波に加わっています。CVE-2025-55182として追跡されているこの欠陥は、未認証の攻撃者が脆弱なシステム上でリモートからコードを実行できるようにし、露出したサーバーを数分以内にバックドア、トンネリングツール、暗号資産マイナーの侵入口へと変えてしまいます。
Reactの開発チームは12月3日にこのバグを公表し、攻撃はほぼ直後に始まりました。Amazonの脅威インテリジェンスチームは、Earth LamiaやJackpot Pandaを含む中国の国家支援系グループが、公表から数時間以内にこの脆弱性の探索を開始したと報告しています。Palo Alto NetworksのUnit 42は、複数業界にわたる50以上の組織がすでに影響を受けていると推定しており、北朝鮮のアクターに関連する悪用の兆候も確認されています。
Googleはさらに、既知の関係者に加えて、中華人民共和国(PRC)と関連付ける少なくとも5つの追加グループがReact2Shellを積極的に悪用していると指摘しています。金銭目的の攻撃者も関与しており、侵害後にXMRigを展開して不正な暗号資産マイニングを行っています。またGoogleは「イラン関連アクター」にも言及していますが、その身元や侵害後の目的は明らかにしていません。
Googleの研究者は、CVE-2025-55182をめぐる活動がアンダーグラウンドフォーラムで活発化している点も強調しています。そこでは参加者が脆弱性について公然と議論し、スキャナーへのリンク、概念実証(PoC)エクスプロイト、攻撃成功の報告などを共有しています。実際、これは注目度の高い「ホット」な脆弱性でよく見られるパターンです。実用的なツールが利用可能になると、スパイ活動グループから純粋な犯罪組織まで、幅広いアクターに急速に採用されます。
北京に関連する活動セットの中で、Googleはいくつかの異なるクラスターを特定しています。UNC6600はこの欠陥を悪用してMinocatトンネラーを展開し、侵害システム上で永続化を確立します。UNC6586はReact2Shellを用いてSnowlightバックドアをインストールし、テレメトリでは、正規ファイルを装った追加ペイロードを配布するコマンド&コントロール(C2)基盤へのHTTP GETリクエストが確認されています。
別のクラスターであるUNC6588は、悪用後にCompoodバックドアをダウンロードし、UNC6603は更新版のHisonicを展開します。Google Threat Intelligenceによれば、UNC6603の活動はクラウド基盤—特にアジア太平洋地域におけるAWSおよびAlibaba Cloudのインスタンス—に焦点を当てています。最後に、PRCに関連付けられるUNC6595は、この脆弱性を悪用してAngryrebel.Linuxを展開し、主に国際的なVPSプロバイダー上でホストされるインフラを標的にしています。
Reactの問題はそれだけではありません。CVE-2025-55182に加え、さらに3つの脆弱性—CVE-2025-55183、CVE-2025-55184、CVE-2025-67779—が公表されています。これらの欠陥はサービス拒否(DoS)攻撃を可能にし、特定のシナリオでは サーバー関数のソースコード漏えいにつながる可能性があります。
4つの脆弱性すべてがもたらす最悪のリスクを軽減するため、組織には影響を受けるReact Server Componentsをできるだけ早くパッチ適用すること、そしてGoogleのレポートで詳細に示された侵害指標(IoC)に一致する外向き通信を綿密に監視することが強く推奨されます—特に、Webサーバープロセスによって実行されるwgetやcURLコマンドです。追加の侵害兆候として、Googleは$HOME/.systemd-utilsのような新規作成された隠しディレクトリ、ntpclientを含むプロセスの不正な終了、そして例えば$HOME/.bashrcのようなシェル設定ファイルへの悪意ある実行ロジックの注入を探索することを推奨しています。
