Selon VulnCheck, des exploitations de la vulnérabilité CVE-2025-11953 (« Metro4Shell ») ont été observées dès le 21 décembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohérentes relevées à plusieurs dates en janvier 2026.

• Contexte et vulnérabilité. Metro peut exposer par défaut un endpoint /open-url; sur Windows, celui-ci permet à un attaquant non authentifié d’exécuter des commandes OS via un POST. La faille a été analysée par JFrog, suivie de POC publics sur GitHub. VulnCheck note un décalage entre l’exploitation réelle et sa reconnaissance publique (EPSS 0,00405), malgré une surface exposée sur Internet.

• Chaîne d’attaque et charges. Les attaques utilisent un POST vers /open-url pour lancer cmd.exe et un PowerShell encodé en base64. Le script: ajoute des exclusions Microsoft Defender pour le répertoire courant et le répertoire temporaire, ouvre une connexion TCP brute vers un hôte/port contrôlé, envoie GET /windows, écrit le binaire reçu dans %TEMP% puis l’exécute avec une longue liste d’arguments. Le binaire Windows est packé UPX et, une fois décompressé, c’est un exécutable Rust intégrant des vérifications d’anti-analyse. Une variante « linux » est également hébergée.

• Temporalité et opérationnalité. Les mêmes payloads ont été vus le 21/12/2025, le 04/01/2026 et le 21/01/2026, indiquant un usage opérationnel persistant plutôt que du simple test. VulnCheck avait déjà des règles et détections internes en novembre, alimentant sa télémétrie Canary.

• Infrastructures et IoC. Des sources d’exploitation ont été observées depuis 65.109.182.231, 223.6.249.141 et 134.209.69.155. Les hôtes de payload « windows » ont été 8.218.43.248:60124 et 47.86.33.195:60130 (ce dernier hébergeant aussi « linux »). Hashs:

  • Windows (UPX): d8337df3aff749250557bf11daf069eb404cce0e6f4f91c6bd6d3f78aed6e9d6
  • Windows (unpacked): 7ecbb0cc88dfa5f187c209a28bd25e8e2d5113bb898a91ae273bca5983130886
  • Linux (UPX): d1886b189474b02467ed2845df0938cec9785e99c3d4b04e0b7de3cafbee4182
  • Linux (unpacked): 6686d4baa9d483da27ba84dab85e96e42b790b608571de7bcb07a1fd7c975fe3

• TTPs observés 🧰

  • Accès initial: exposition d’un service de développement Metro avec endpoint /open-url accessible publiquement.
  • Exécution: PowerShell -EncodedCommand lancé via cmd.exe; écriture et exécution d’un binaire depuis le répertoire temporaire.
  • Évasion: désactivation ciblée de Microsoft Defender via Add-MpPreference -ExclusionPath.
  • Command-and-control/livraison: connexion TCP brute vers un hôte/port, requête GET /windows pour récupérer la charge utile.
  • Obfuscation/anti-analyse: binaire packé UPX, implémenté en Rust avec vérifications d’exécution.

Article de type analyse technique/veille: il met en évidence une exploitation en conditions réelles, fournit IoC et chronologie, et souligne l’écart entre l’exploitation observée et sa reconnaissance publique.

🧠 TTPs et IOCs détectés

TTP

[‘Accès initial: exposition d’un service de développement Metro avec endpoint /open-url accessible publiquement.’, ‘Exécution: PowerShell -EncodedCommand lancé via cmd.exe; écriture et exécution d’un binaire depuis le répertoire temporaire.’, ‘Évasion: désactivation ciblée de Microsoft Defender via Add-MpPreference -ExclusionPath.’, ‘Command-and-control/livraison: connexion TCP brute vers un hôte/port, requête GET /windows pour récupérer la charge utile.’, ‘Obfuscation/anti-analyse: binaire packé UPX, implémenté en Rust avec vérifications d’exécution.’]

IOC

{‘ip’: [‘65.109.182.231’, ‘223.6.249.141’, ‘134.209.69.155’, ‘8.218.43.248’, ‘47.86.33.195’], ‘hash’: [‘d8337df3aff749250557bf11daf069eb404cce0e6f4f91c6bd6d3f78aed6e9d6’, ‘7ecbb0cc88dfa5f187c209a28bd25e8e2d5113bb898a91ae273bca5983130886’, ‘d1886b189474b02467ed2845df0938cec9785e99c3d4b04e0b7de3cafbee4182’, ‘6686d4baa9d483da27ba84dab85e96e42b790b608571de7bcb07a1fd7c975fe3’]}

🔗 Source originale : https://www.vulncheck.com/blog/metro4shell_eitw