React2Shell高危漏洞遭大规模利用，多组攻击者部署KSwapDoor等Linux后门

根据Palo Alto Networks Unit 42与NTT Security的研究，威胁行为者正在积极利用名为React2Shell的安全漏洞，传播KSwapDoor与ZnDoor等恶意软件。

Palo Alto Networks Unit 42的威胁情报研究高级经理Justin Moore指出：“KSwapDoor是一款经过专业设计的远程访问工具，隐蔽性极高。它能够构建内部网状网络，使受感染服务器之间相互通信，以此规避安全拦截。该工具采用军用级加密来隐藏通信流量，更令人担忧的是其具备‘休眠’模式，攻击者能够通过隐秘信号唤醒恶意软件，从而绕过防火墙检测。”

该网络安全公司补充道，此前该后门曾被误归类为BPFDoor。其Linux版本提供了交互式Shell、命令执行、文件操作及横向移动扫描等功能，并通过伪装成合法的Linux内核交换守护进程来逃避检测。

日本成为重点攻击目标

NTT Security披露，日本机构已成为利用React2Shell漏洞部署ZnDoor恶意软件的重点攻击目标。该恶意软件自2023年12月起在野外被发现。攻击链涉及执行bash命令，通过wget从远程服务器（45.76.155[.]14）获取有效载荷并执行。

这款远程访问木马会连接攻击者控制的基础设施以接收指令，支持多种操作，包括：

• shell - 执行命令
• interactive_shell - 启动交互式shell（一种常见的运维/DevOps工具滥用方式）
• explorer - 获取目录列表
• explorer_cat - 读取并显示文件内容
• explorer_delete - 删除文件
• explorer_upload - 从服务器下载文件
• explorer_download - 向服务器上传文件
• system - 收集系统信息
• change_timefile - 修改文件时间戳（用于隐匿痕迹）
• socket_quick_startstreams - 启动SOCKS5代理
• start_in_port_forward - 开启端口转发
• stop_in_port - 停止端口转发

多组攻击者利用高危漏洞

该漏洞（CVE-2025-55182，CVSS评分：10.0）已被多个威胁组织利用。谷歌的研究发现至少有五个相关联的组织将其武器化，用于投递多种有效载荷：

• UNC6600 投递名为MINOCAT的隧道工具
• UNC6586 投递名为SNOWLIGHT的下载器
• UNC6588 投递名为COMPOOD的后门
• UNC6603 投递Go语言后门HISONIC的更新版本（利用Cloudflare Pages和GitLab获取加密配置，将流量混入合法网络）
• UNC6595 投递Linux版ANGRYREBEL（又名Noodle RAT）

微软在安全公告中指出，攻击者利用该漏洞执行任意命令进行后期利用，具体行为包括：建立到已知Cobalt Strike服务器的反向shell、部署MeshAgent等远程监控管理（RMM）工具、修改authorized_keys文件以及启用root登录。

云凭证成为重点窃取目标

在这些攻击中，攻击者投递的有效载荷包括VShell、EtherRAT、SNOWLIGHT、ShadowPad和XMRig。其攻击特征包括使用Cloudflare Tunnel端点（"*.trycloudflare.com"）规避安全防御，以及对受感染环境进行侦察，旨在实施横向移动和凭证窃取。

微软表示，凭证窃取活动主要针对Azure、AWS和GCP等云服务提供商的实例元数据服务（IMDS）端点，最终目的是获取身份令牌以深入云基础设施。微软安全研究团队称：“攻击者还部署了TruffleHog和Gitleaks等秘密发现工具及自定义脚本。同时，我们观察到他们也在尝试窃取OpenAI API密钥、Databricks令牌和Kubernetes服务账户凭证等云原生凭据。”

Next.js漏洞遭组合利用

另据Beelzebub披露的攻击活动，威胁行为者还组合利用了Next.js的漏洞（包括CVE-2025-29927和CVE-2025-66478），系统性地窃取凭证和敏感数据，目标包括：

• 各类环境配置文件（.env系列文件）
• 系统环境变量（通过printenv， env命令）
• SSH密钥（如~/.ssh/id_rsa等）
• 云服务凭证（AWS、Docker配置）
• Git凭证
• 命令历史记录
• 系统关键文件（如/etc/shadow）

此外，恶意软件会建立持久化机制、安装SOCKS5代理、连接到67.217.57[.]240:888的反向shell，并安装React扫描器进行网络探测。代号为“Operation PCPcat”的攻击活动已入侵59，128台服务器，展现出“工业级大规模情报收集和数据外泄特征”。

Shadowserver基金会目前追踪到超过11.1万个易受React2Shell攻击的IP地址，其中美国占7.78万个，德国（7500）、法国（4000）和印度（2300）紧随其后。GreyNoise数据显示，过去24小时内有547个来自美国、印度、英国、新加坡和荷兰的恶意IP参与了对此漏洞的利用。

参考来源：
React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors
https://thehackernews.com/2025/12/react2shell-vulnerability-actively.html