2025年12月上旬以降、日本のSOCチームは、React2Shell(CVE-2025-55182)を悪用する攻撃の波を観測しています。これはReact/Next.jsに存在するリモートコード実行の脆弱性で、すでに公開PoCが存在し、現在はWebサービスに対して大規模に悪用されています。多くの事案では攻撃者が暗号資産マイナーなど見慣れたペイロードを展開しますが、いくつかのケースでは、アナリストがZnDoorと呼ばれる未知のマルウェアに遭遇しました。
NTT Securityの観測によれば、ZnDoorは少なくとも2023年12月から使用されていた可能性があり、ネットワークインフラの脆弱性を悪用するキャンペーンと文脈的に関連しているようです。日本企業内で検知された攻撃では、侵入チェーンはReact2Shellから始まります。悪用が成功すると、サーバー上でコマンドが実行され、ZnDoorをダウンロードして起動します。注目すべき点として、これらのケースではサンプルの配布サーバーとC2(コマンド&コントロール)エンドポイントが同一であり、マルウェアは実行直後に制御インフラとの通信を開始しました。
ZnDoorの設定はコード内に直接埋め込まれており、Base64デコードの後にAES-CBC復号によって抽出されます。設定にはapi.qtss[.]ccとポート443が含まれており、マルウェアはこれを用いてC2 URLを構築します。リクエストは通常のWebトラフィックに偽装され、/en/aboutというパスを狙い、source=redhatのようなパラメータや可変のid値(v1.0やv1.1といった「バージョン付き」文字列、ならびに長い数値識別子を含む)を使用します。
その後、安定した「ビーコニング」フェーズが続きます。サンプルはシステム情報を収集してJSONにまとめ、SafariのUser-Agentを偽装しながら、毎秒HTTP POSTでC2へ送信します。送信データにはローカルIPアドレス、ホストおよびバージョンの詳細を含む文字列、xidライブラリで生成してからMD5でハッシュ化した被害者トークンが含まれます。サーバーがERRORで応答した場合、マルウェアは一時停止し、最大10回まで送信を再試行します。
機能面では、ZnDoorはフル機能のリモートアクセス型トロイの木馬(RAT)に似ています。C2からの指示により、シェルコマンドの実行、対話型シェルの起動、ディレクトリの参照、ファイルの読み取りと削除、双方向のファイル転送、システム情報の収集、ファイルのタイムスタンプ変更、SOCKS5プロキシの起動、ポートフォワーディングの設定が可能です。コマンド実行結果はシリアライズされ、同じHTTP POSTチャネルで返送されます。コマンド文字列内のパラメータは##というシーケンスで区切られます。
研究者は特にZnDoorの回避技術を重視しています。このマルウェアは標準入力と標準出力を保持したまま/proc/self/exeを介して繰り返し自己再起動でき、ライブでの挙動分析を複雑化させ、PIDによる標的停止をより困難にします。
並行して、プロセス名を変更し、自身のタイムスタンプを固定値(2016-01-15 15:08:25.7450580)に強制的にリセットします。これにより、フォレンジック分析が妨げられ、「最近」の痕跡に焦点を当てたチェックでの可視性が低下する可能性があります。SOCチームは、React2Shellの悪用に続いてZnDoorが展開される事例がすでに日本企業で観測されており、この脆弱性を利用した試みは単発のアウトブレイクではなく持続的な脅威として扱うべきだと強調しています。
