«Верните мне мой 2016-й». Новый бэкдор ZnDoor «замораживает» время, чтобы обмануть опытных аналитиков

С начала декабря 2025 года SOC-специалисты фиксируют в Японии волну атак с эксплуатацией React2Shell (CVE-2025-55182) — уязвимости удалённого выполнения кода в React/Next.js, которая уже получила публичный PoC и начала массово использоваться против веб-сервисов. Во многих случаях злоумышленники запускают на взломанных системах привычные «нагрузки» вроде криптомайнеров, но в ряде инцидентов аналитики столкнулись с неизвестным вредоносом, который получил имя ZnDoor.

По наблюдениям NTT Security, ZnDoor может применяться как минимум с декабря 2023 года, а также, вероятно, пересекается по контексту с кампаниями по эксплуатации уязвимостей в сетевом оборудовании. В атаке, замеченной на предприятиях внутри Японии, цепочка начинается с React2Shell: после успешной эксплуатации на сервере выполняется команда, которая скачивает и запускает ZnDoor. Примечательно, что сервер раздачи образца и управляющий C2 в этом случае совпадали, а уже после запуска вредонос начинает обмен с инфраструктурой управления.

Конфигурация ZnDoor хранится в коде и извлекается через Base64 с последующей расшифровкой AES-CBC: в ней зашиты адрес api.qtss[.]cc и порт 443. Из этих данных вредонос формирует URL для соединения с C2, маскируя запросы под обычную веб-активность по пути /en/about с параметрами source=redhat и разными значениями id, включая варианты с «версиями» v1.0, v1.1 и длинной числовой строкой.

Дальше начинается регулярный «маячок»: образец собирает системные сведения, упаковывает их в JSON и отправляет на C2 через HTTP POST каждую секунду, при этом подменяя User-Agent под Safari. Внутри передаются, среди прочего, локальные IP-адреса, строка с версией и данными хоста, а также токен жертвы, который генерируется библиотекой xid и затем хэшируется MD5; если в ответ приходит ERROR, вредонос делает паузу и пытается отправить данные повторно до десяти раз.

По функциональности ZnDoor выглядит как полноценный RAT: по командам с C2 он умеет выполнять shell-команды, поднимать интерактивную оболочку, просматривать директории, читать и удалять файлы, передавать файлы в обе стороны, собирать системную информацию, менять временные метки файлов, запускать SOCKS5-прокси и настраивать порт-форвардинг. Результаты выполнения команд он сериализует и отправляет обратно тем же каналом HTTP POST, а разделителем параметров в командных строках выступает последовательность ##.

Отдельный акцент исследователи делают на механизмах уклонения от обнаружения. ZnDoor умеет многократно перезапускать сам себя через /proc/self/exe, сохраняя стандартный ввод-вывод и фактически усложняя анализ поведения «вживую», а также затрудняя попытки точечно «прибить» процесс по PID.

Параллельно вредонос подменяет имя процесса и принудительно меняет собственные таймстемпы на фиксированное значение 2016-01-15 15:08:257450580, что может мешать форензике и снижать заметность при проверках, рассчитанных на «свежие» артефакты. В SOC подчёркивают, что случаи эксплуатации React2Shell с последующей установкой ZnDoor уже наблюдаются в японских компаниях, поэтому к попыткам атак через эту уязвимость стоит относиться как к устойчивой угрозе, а не разовой вспышке.