Tin tặc Trung Quốc đã bắt đầu khai thác lỗ hổng React2Shell mới được tiết lộ

[T-X]

Hai nhóm tin tặc có liên hệ với Trung Quốc đã bị phát hiện lợi dụng lỗ hổng bảo mật mới được tiết lộ trong React Server Components (RSC) chỉ vài giờ sau khi thông tin này được công khai.

Lỗ hổng được đề cập là CVE-2025-55182 (điểm CVSS: 10.0), hay còn gọi là React2Shell, cho phép thực thi mã từ xa không cần xác thực. Lỗ hổng này đã được khắc phục trong các phiên bản React 19.0.1, 19.1.2 và 19.2.1.

Theo báo cáo mới được chia sẻ bởi Amazon Web Services (AWS), hai tác nhân đe dọa có liên quan đến Trung Quốc được gọi là Earth Lamia và Jackpot Panda đã bị phát hiện đang cố gắng khai thác lỗ hổng bảo mật có mức độ nghiêm trọng tối đa.

CJ Moses, CISO của Amazon Integrated Security, cho biết trong một báo cáo chia sẻ với The Hacker News : "Phân tích của chúng tôi về các nỗ lực khai thác trong cơ sở hạ tầng honeypot của AWS MadPot đã xác định hoạt động khai thác từ các địa chỉ IP và cơ sở hạ tầng có liên hệ trước đây với các tác nhân đe dọa có liên hệ với nhà nước Trung Quốc ".

Cụ thể, gã khổng lồ công nghệ cho biết họ đã xác định được cơ sở hạ tầng liên quan đến Earth Lamia, một nhóm có liên hệ với Trung Quốc được cho là đã thực hiện các cuộc tấn công khai thác lỗ hổng nghiêm trọng của SAP NetWeaver (CVE-2025-31324) vào đầu năm nay.

Nhóm tin tặc đã nhắm mục tiêu vào các lĩnh vực dịch vụ tài chính, hậu cần, bán lẻ, công ty CNTT, trường đại học và các tổ chức chính phủ trên khắp Châu Mỹ Latinh, Trung Đông và Đông Nam Á.

Các nỗ lực tấn công cũng bắt nguồn từ cơ sở hạ tầng liên quan đến một tác nhân đe dọa mạng khác có liên hệ với Trung Quốc được gọi là Jackpot Panda, chủ yếu nhắm vào các thực thể tham gia hoặc hỗ trợ các hoạt động cờ bạc trực tuyến ở Đông Á và Đông Nam Á.

Theo CrowdStrike, Jackpot Panda được đánh giá là đã hoạt động ít nhất từ năm 2020 và đã nhắm mục tiêu vào các mối quan hệ bên thứ ba đáng tin cậy nhằm triển khai các phần mềm độc hại và giành quyền truy cập ban đầu. Đáng chú ý, tác nhân đe dọa này đã được xác định có liên quan đến vụ xâm nhập chuỗi cung ứng của một ứng dụng trò chuyện có tên Comm100 vào tháng 9 năm 2022. Hoạt động này được ESET theo dõi với tên gọi Chiến dịch ChattyGoblin.

Sau đó, người ta phát hiện ra rằng một nhà thầu tin tặc Trung Quốc, I-Soon, có thể đã tham gia vào vụ tấn công chuỗi cung ứng, với lý do trùng lặp cơ sở hạ tầng. Điều thú vị là các cuộc tấn công do nhóm này thực hiện vào năm 2023 chủ yếu nhắm vào các nạn nhân nói tiếng Trung, cho thấy khả năng có sự giám sát trong nước.

CrowdStrike cho biết trong Báo cáo về Mối đe dọa Toàn cầu được công bố vào năm ngoái: "Bắt đầu từ tháng 5 năm 2023, kẻ tấn công đã sử dụng trình cài đặt trojan cho CloudChat, một ứng dụng trò chuyện có trụ sở tại Trung Quốc phổ biến trong cộng đồng cờ bạc bất hợp pháp nói tiếng Trung tại Trung Quốc đại lục".

"Trình cài đặt trojan được cung cấp từ trang web CloudChat chứa giai đoạn đầu tiên của quy trình nhiều bước cuối cùng triển khai XShade – một phần mềm cấy ghép mới có mã trùng lặp với phần mềm cấy ghép CplRAT độc đáo của Jackpot Panda."

Amazon cho biết họ cũng phát hiện ra các tác nhân đe dọa khai thác 2025-55182 cùng với các lỗ hổng N-day khác, bao gồm lỗ hổng trong NUUO Camera ( CVE-2025-1338, điểm CVSS: 7,3), cho thấy những nỗ lực rộng hơn nhằm quét internet để tìm các hệ thống chưa được vá.

Hoạt động được quan sát bao gồm các nỗ lực chạy lệnh khám phá (ví dụ: whoami), ghi tệp ("/tmp/pwned.txt") và đọc tệp chứa thông tin nhạy cảm (ví dụ: "/etc/passwd").

Moses cho biết: "Điều này chứng minh một phương pháp tiếp cận có hệ thống: các tác nhân đe dọa theo dõi các lỗ hổng bảo mật mới được tiết lộ, nhanh chóng tích hợp các lỗ hổng công khai vào cơ sở hạ tầng quét của chúng và tiến hành các chiến dịch rộng rãi trên nhiều lỗ hổng và điểm phơi bày phổ biến (CVE) cùng lúc để tối đa hóa cơ hội tìm ra các mục tiêu dễ bị tấn công".

Cloudflare đổ lỗi sự cố cho bản vá React2Shell. Sự phát triển này diễn ra khi Cloudflare gặp sự cố ngừng hoạt động ngắn nhưng trên diện rộng khiến các trang web và nền tảng trực tuyến trả về thông báo "Lỗi máy chủ nội bộ 500".

"Một thay đổi trong cách Tường lửa Ứng dụng Web (WAF) của Cloudflare phân tích cú pháp các yêu cầu đã khiến mạng của Cloudflare không khả dụng trong vài phút sáng nay", nhà cung cấp cơ sở hạ tầng web cho biết trong một tuyên bố hôm thứ Sáu. "Đây không phải là một cuộc tấn công; thay đổi này được nhóm của chúng tôi triển khai để giúp giảm thiểu lỗ hổng bảo mật toàn ngành được tiết lộ trong tuần này trong React Server Components."