Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet).

GTIG observe des campagnes multiples sur diverses régions et secteurs, incluant des acteurs à visée d’espionnage et des criminels motivés financièrement. Côté Chine-nexus: AWS signale Earth Lamia (UNC5454) et Jackpot Panda; GTIG détaille plusieurs clusters actifs et un intérêt iran-nexus également observé.

Campagnes observées (sélection) :

  • UNC6600 → MINOCAT (tunneler) : script bash créant un répertoire caché ($HOME/.systemd-utils), stoppant « ntpclient », téléchargeant un binaire ELF 64-bit incluant un wrapper « NSS » et un client FRP embarqué; persistance via cron, systemd et injection dans .bashrc.
  • UNC6586 → SNOWLIGHT (downloader de VSHELL) : récupération par cURL/wget, contact C2 via HTTP GET (ex. reactcdn.windowserrorapis[.]com) pour des charges additionnelles se faisant passer pour légitimes.
  • UNC6588 → COMPOOD (backdoor) : téléchargée via wget, déguisée en Vim; suivi opérationnel non significatif observé.
  • UNC6603 → HISONIC (implant Go) : récupère sa configuration chiffrée via services légitimes (Cloudflare Pages, GitLab), avec marqueurs XOR « 115e1fc47977812 » (début) et « 725166234cf88gxx » (fin); cibles AWS et Alibaba Cloud en APAC.
  • UNC6595 → ANGRYREBEL.LINUX : installation via script « b.sh », mascarade sshd dans /etc, timestomping, anti-forensics (effacement de l’historique), ciblant surtout des VPS internationaux.
  • Cryptominage : déploiement de XMRig (script « sex.sh ») avec persistance via service systemd « system-update-service »; échanges underground actifs autour d’outils de scan et PoC.

TTPs clés (extraits) :

  • Exploitation RCE via RSC et requête HTTP unique; diversité de payloads/formats.
  • Téléchargement/Exécution avec cURL/wget; scripts bash d’initialisation.
  • Persistance via cron, systemd, et injection dans .bashrc; tunneling FRP.
  • Déguisement de binaires (ex. « vim », « sshd »), timestomping, anti-forensics (history -c).
  • C2 camouflé via services cloud légitimes; config chiffrée avec marqueurs XOR.
  • Cryptominage XMRig; discussions et PoC partagés sur des forums underground.

IOCs et détection publiés par GTIG :

  • Domaines/C2 : reactcdn.windowserrorapis[.]com
  • Adresses IP : 82.163.22[.]139; 216.158.232[.]43; 45.76.155[.]14
  • Empreintes (sélection) :
    • df3f20a961d29eed46636783b71589c183675510
    • 92064e210b23cf5b94585d3722bf53373d54fb41
    • 0bc65a55a84d1b2e2a320d2b011186a14f9074d6
    • 13675cca4674a8f9a8fabe4f9df4ae0ae9ef1198
    • 7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0
    • 776850a1e6d6915e9bf35aa83554616129acd94e
  • Règles YARA (noms) : G_APT_Tunneler_MINOCAT_1; G_Backdoor_COMPOOD_1; G_Hunting_Downloader_SNOWLIGHT_1

Recommandations (extrait de l’article) :

  • Patches RSC : au moins 19.0.1 / 19.1.2 / 19.2.1 pour la RCE; 19.2.2 pour CVE-2025-55183 (fuite d’info); 19.2.3 pour CVE-2025-55184 et CVE-2025-67779 (DoS; 19.2.2 insuffisant pour le DoS); 19.2.2/19.2.3 préviennent aussi des vecteurs RCE possibles.
  • WAF : règle Cloud Armor pour bloquer les tentatives connues.
  • Audit/Surveillance/Hunting : dépendances RSC vulnérables; surveillance de wget/cURL par processus web; recherche de $HOME/.systemd-utils, Arrêt non autorisé de ntpclient, et injections dans $HOME/.bashrc.

Conclusion : article d’analyse de menace et alerte de sécurité, visant à documenter les chaînes d’exploitation observées, attribuer partiellement les acteurs, et fournir des IOCs, règles YARA et pistes de détection/mitigation.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation RCE via RSC et requête HTTP unique’, ‘Téléchargement/Exécution avec cURL/wget’, ‘Scripts bash d’initialisation’, ‘Persistance via cron, systemd, et injection dans .bashrc’, ‘Tunneling FRP’, “Déguisement de binaires (ex. ‘vim’, ‘sshd’)”, ‘Timestomping’, ‘Anti-forensics (history -c)’, ‘C2 camouflé via services cloud légitimes’, ‘Configuration chiffrée avec marqueurs XOR’, ‘Cryptominage XMRig’]

IOC

{‘domains’: [‘reactcdn.windowserrorapis[.]com’], ‘ips’: [‘82.163.22[.]139’, ‘216.158.232[.]43’, ‘45.76.155[.]14’], ‘hashes’: [‘df3f20a961d29eed46636783b71589c183675510’, ‘92064e210b23cf5b94585d3722bf53373d54fb41’, ‘0bc65a55a84d1b2e2a320d2b011186a14f9074d6’, ‘13675cca4674a8f9a8fabe4f9df4ae0ae9ef1198’, ‘7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0’, ‘776850a1e6d6915e9bf35aa83554616129acd94e’]}

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182?hl=en