React2Shell получила 10/10 по CVSS. Китайские хакеры — 10/10 по скорости: атаковали через часы после раскрытия

Две хакерские группировки, связанные с Китаем, начали использовать критическую уязвимость в React Server Components буквально через несколько часов после того, как о ней стало известно публично. Речь идет о баге CVE-2025-55182 с максимальным баллом 10, который в сообществе уже прозвали React2Shell и который позволяет удаленно выполнять произвольный код без какой-либо аутентификации на уязвимом сервере. Проблема уже исправлена в React версий 19.0.1, 19.1.2 и 19.2.1, однако не обновленные проекты остаются легкой добычей для атакующих.

По данным отчета Amazon Web Services, попытки эксплуатации React2Shell были замечены в инфраструктуре ловушек AWS MadPot. Логи показали активность хакеров с IP-адресов и серверов, которые раньше уже связывали с государственными группами из Китая. В числе задействованных акторов аналитики выделяют две кампании, получившие названия Earth Lamia и Jackpot Panda.

Earth Lamia описывается как группа с китайской привязкой, которую ранее обвиняли в эксплуатации критической уязвимости в SAP NetWeaver (CVE-2025-31324). Ее интересы не ограничиваются одной отраслью: под прицел попадали финансовые организации, логистические компании, розничный бизнес, IT-сектор, университеты и государственные структуры в Латинской Америке, на Ближнем Востоке и в странах Юго-Восточной Азии.

Вторая группа, Jackpot Panda, традиционно охотится за компаниями, которые работают с онлайн-гемблингом или обслуживают этот рынок в Восточной и Юго-Восточной Азии. По данным CrowdStrike, она активна как минимум с 2020 года и любит заходить в сети жертв через доверенные третьи стороны, используя компрометированные партнерские цепочки для установки вредоносных имплантов и получения первоначального доступа.

Именно Jackpot Panda связывают с компрометацией цепочки поставок чата Comm100 в сентябре 2022 года, операцию эту ESET отслеживает под названием ChattyGoblin. Позже появились данные, что к атаке мог быть причастен китайский подрядчик I-Soon, на что указывают пересечения в используемой инфраструктуре. При этом в 2023 году многие атаки были переориентированы на китайскоязычных пользователей, что может говорить о задачах внутреннего слежения.

Исследователи также отмечают, что в одной из кампаний злоумышленники использовали троянизированный установщик CloudChat, популярного в подпольных китайскоязычных гемблинг-сообществах мессенджера. С сайта приложения распространялся инсталлятор, который запускал многошаговую цепочку установки нового импланта XShade, связанного по коду с фирменным вредоносом CplRAT, используемым Jackpot Panda.

Amazon сообщает, что вместе с React2Shell те же актеры параллельно эксплуатируют и другие уже известные уязвимости, в частности баг в камерах NUUO (CVE-2025-1338, CVSS 7.3). Это говорит о том, что операторы не ограничиваются одной дырой, а массово сканируют интернет в поисках любых не обновленных систем, комбинируя несколько CVE в одной волне атак.

В зафиксированных попытках эксплуатации хакеры пробуют выполнять базовые команды разведки окружения вроде whoami, создавать файлы наподобие "/tmp/pwned.txt" и читать системные файлы с потенциально чувствительными данными, например "/etc/passwd". Такие действия позволяют проверить, успешно ли сработал эксплойт, а затем уже решать, стоит ли развивать атаку дальше.

По словам директора по безопасности Amazon CJ Moses, перед нами типичная отлаженная схема работы продвинутых групп. Они непрерывно отслеживают новые отчеты об уязвимостях, быстро встраивают опубликованный эксплойт в свою инфраструктуру сканирования и запускают широкие кампании сразу по нескольким уязвимостям, чтобы максимально повысить шансы найти незащищенные цели. Для владельцев сайтов и сервисов на React это означает одно: если приложение использует React Server Components и еще не обновлено до актуальных версий, его нужно срочно патчить и дополнительно мониторить на предмет компрометации.