Lỗ hổng React2Shell cung cấp phần mềm khai thác tiền điện tử và phần mềm độc hại

[T-X]

Theo những phát hiện mới từ Huntress, React2Shell tiếp tục bị khai thác mạnh mẽ, với các tác nhân đe dọa lợi dụng lỗ hổng bảo mật nghiêm trọng nhất trong React Server Components (RSC) để phát tán phần mềm khai thác tiền điện tử và một loạt các họ phần mềm độc hại chưa từng được ghi nhận trước đây.

Điều này bao gồm một phần mềm cửa hậu Linux có tên PeerBlight, một đường hầm proxy ngược có tên CowTunnel và một phần mềm cấy ghép khai thác sau sự cố dựa trên Go có tên ZinFoq.

Công ty an ninh mạng cho biết họ đã quan sát thấy các tin tặc nhắm mục tiêu vào nhiều tổ chức thông qua CVE-2025-55182, một lỗ hổng bảo mật nghiêm trọng trong RSC cho phép thực thi mã từ xa mà không cần xác thực. Tính đến ngày 8 tháng 12 năm 2025, các nỗ lực này đã nhắm vào nhiều lĩnh vực, nhưng nổi bật nhất là ngành xây dựng và giải trí.

Lần tấn công khai thác lỗ hổng bảo mật đầu tiên được ghi nhận trên máy chủ Windows bởi Huntress diễn ra vào ngày 4 tháng 12 năm 2025, khi một kẻ tấn công không rõ danh tính đã khai thác một lỗ hổng trong Next.js để cài đặt một tập lệnh shell, tiếp theo là các lệnh để cài đặt phần mềm khai thác tiền điện tử và một cửa hậu Linux.

Trong hai trường hợp khác, kẻ tấn công được quan sát thấy đang khởi chạy các lệnh dò tìm và cố gắng tải xuống một số phần mềm độc hại từ máy chủ điều khiển (C2). Một số vụ xâm nhập đáng chú ý cũng nhắm vào các máy chủ Linux để cài đặt phần mềm khai thác tiền điện tử XMRig, chưa kể đến việc lợi dụng một công cụ có sẵn trên GitHub để xác định các phiên bản Next.js dễ bị tổn thương trước khi bắt đầu cuộc tấn công.

Các nhà nghiên cứu của Huntress cho biết: "Dựa trên mô hình nhất quán được quan sát thấy trên nhiều điểm cuối, bao gồm cả các cuộc thăm dò lỗ hổng, kiểm thử mã shell và cơ sở hạ tầng C2 giống hệt nhau, chúng tôi đánh giá rằng kẻ tấn công có khả năng đang tận dụng các công cụ khai thác tự động. Điều này càng được củng cố bởi các nỗ lực triển khai các phần mềm độc hại dành riêng cho Linux trên các điểm cuối Windows, cho thấy quá trình tự động hóa không phân biệt giữa các hệ điều hành mục tiêu."

Dưới đây là mô tả ngắn gọn về một số phần mềm độc hại được tải xuống trong các cuộc tấn công này:

      Đăng nhập để xem liên kết, một tập lệnh bash tải trực tiếp XMRig 6.24.0 từ GitHub.
    PeerBlight, một phần mềm độc hại cửa hậu dành cho Linux có một số đoạn mã trùng lặp với hai họ phần mềm độc hại RotaJakiro và Pink được phát hiện vào năm 2021, cài đặt một dịch vụ systemd để đảm bảo khả năng tồn tại lâu dài, và ngụy trang thành một tiến trình nền " ksoftirqd " để tránh bị phát hiện.
    CowTunnel, một máy chủ proxy ngược khởi tạo kết nối đi ra đến các máy chủ Fast Reverse Proxy (FRP) do kẻ tấn công kiểm soát, giúp vượt qua hiệu quả các tường lửa chỉ được cấu hình để giám sát các kết nối đến.
    ZinFoq là một chương trình nhị phân ELF dành cho Linux, triển khai một khung khai thác hậu xâm nhập với khả năng tương tác shell, thao tác tệp, chuyển hướng mạng và ghi đè thời gian.
      Đăng nhập để xem liên kết, một tập lệnh thả chịu trách nhiệm triển khai khung Sliver C2.
      Đăng nhập để xem liên kết, một biến thể của "d5.sh" với cơ chế tự cập nhật được thêm vào để tải phiên bản mới của phần mềm độc hại và khởi động lại nó.
      Đăng nhập để xem liên kết, một biến thể của phần mềm độc hại DDoS Kaiji, tích hợp khả năng quản trị từ xa, duy trì hoạt động và né tránh sự tấn công.

PeerBlight hỗ trợ khả năng thiết lập liên lạc với máy chủ C2 được mã hóa cứng ("185.247.224[.]41:8443"), cho phép nó tải lên/tải xuống/xóa tệp, tạo shell đảo ngược, sửa đổi quyền truy cập tệp, chạy các tệp nhị phân tùy ý và tự cập nhật. Phần mềm độc hại này cũng sử dụng thuật toán tạo tên miền (DGA) và mạng Bảng băm phân tán BitTorrent (DHT) làm cơ chế C2 dự phòng.

"Sau khi tham gia mạng DHT, phần mềm độc hại sẽ tự đăng ký với một ID nút bắt đầu bằng tiền tố được mã hóa cứng LOLlolLOL," các nhà nghiên cứu giải thích. "Tiền tố 9 byte này đóng vai trò là mã định danh cho mạng botnet, trong khi 11 byte còn lại của ID nút DHT 20 byte được chọn ngẫu nhiên."

"Khi phần mềm độc hại nhận được phản hồi DHT chứa danh sách các nút, nó sẽ quét tìm các nút khác có ID bắt đầu bằng LOLlolLOL. Khi tìm thấy một nút phù hợp, nó biết rằng đây là một máy bị nhiễm khác hoặc một nút do kẻ tấn công kiểm soát có thể cung cấp cấu hình C2."

Huntress cho biết họ đã xác định được hơn 60 nút độc nhất với tiền tố LOLlolLOL, đồng thời cho biết thêm rằng cần phải đáp ứng nhiều điều kiện để một bot bị nhiễm có thể chia sẻ cấu hình C2 của nó với một nút khác: phiên bản máy khách hợp lệ, cấu hình khả dụng ở phía bot phản hồi và ID giao dịch chính xác.

Ngay cả khi tất cả các điều kiện cần thiết được đáp ứng, các bot được thiết kế sao cho chúng chỉ chia sẻ cấu hình khoảng một phần ba thời gian dựa trên kiểm tra ngẫu nhiên, có thể nhằm mục đích giảm nhiễu mạng và tránh bị phát hiện.

Tương tự như vậy, ZinFoq phát tín hiệu đến máy chủ C2 của nó và được trang bị để phân tích các lệnh đến nhằm chạy các lệnh bằng cách sử dụng "/bin/bash", liệt kê thư mục, đọc hoặc xóa tệp, tải xuống thêm payload từ một URL được chỉ định, trích xuất tệp và thông tin hệ thống, khởi động/dừng proxy SOCKS5, bật/tắt chuyển tiếp cổng TCP, thay đổi thời gian truy cập và sửa đổi tệp, và thiết lập kết nối shell giả lập thiết bị đầu cuối (PTY) ngược.

ZinFoq cũng thực hiện các bước để xóa lịch sử bash và ngụy trang thành một trong 44 dịch vụ hệ thống Linux hợp pháp (ví dụ: "/sbin/audispd," "/usr/sbin/ModemManager," "/usr/libexec/colord," hoặc "/usr/sbin/cron -f") để che giấu sự hiện diện của nó.

Huntress cho biết các tổ chức đang sử dụng react-server-dom-webpack, react-server-dom-parcel hoặc react-server-dom-turbopack được khuyến cáo nên cập nhật ngay lập tức, do "khả năng dễ bị khai thác và mức độ nghiêm trọng của lỗ hổng".

Diễn biến này diễn ra khi Shadowserver Foundation cho biết họ đã phát hiện hơn 165.000 địa chỉ IP và 644.000 tên miền có mã độc hại tính đến ngày 8 tháng 12 năm 2025, sau khi "thực hiện quét nhằm mục tiêu cải thiện". Hơn 99.200 trường hợp nằm ở Mỹ, tiếp theo là Đức (14.100), Pháp (6.400) và Ấn Độ (4.500).