S'appuyant sur les attaques précédentes de PeerBlight, Google Threat Intelligence rapporte l'exploitation de la vulnérabilité React2Shell (CVE-2025-55182) par des clusters liés à la Chine et des acteurs motivés financièrement déployant des backdoors et des mineurs de cryptomonnaies sur des systèmes React et Next.js vulnérables.
Comme détaillé dans la couverture précédente de la campagne de backdoor Linux PeerBlight exploitant React2Shell (CVE-2025-55182)—une faille RCE critique dans React Server Components divulguée le 3 décembre 2025—, des acteurs de menaces supplémentaires ont intensifié les attaques. La vulnérabilité (CVSS 10.0) affecte les versions React 19.0, 19.1.0, 19.1.1 et 19.2.0 en raison d'un décodage incorrect de payload, permettant l'exécution de code non authentifiée via des requêtes HTTP forgées.
Google Threat Intelligence Group (GTIG) a observé des campagnes de groupes liés à la Chine UNC6600, UNC6586, UNC6588 et UNC6603 peu après la divulgation. UNC6600 déploie le tunnel MINOCAT via des tâches cron et systemd ; UNC6586 utilise le téléchargeur SNOWLIGHT lié à reactcdn.windowserrorapis[.]com ; UNC6603 emploie un backdoor HISONIC mis à jour basé sur Go hébergé sur Cloudflare/GitLab, ciblant les clouds Asie-Pacifique. Malware supplémentaire inclut le backdoor COMPOOD (déguisé en utilitaires) et ANGRYREBEL.LINUX (imitateur de démon SSH avec timestomping).
Dès le 5 décembre, des acteurs motivés financièrement ont déployé des mineurs XMRig via sex.sh, créant de faux services systemd 'system-update-service'. Les dépôts d'exploits, y compris des webshells en mémoire, prolifèrent.
Atténuer en passant à React 19.0.1, 19.1.2 ou 19.2.1+, en utilisant Cloud Armor WAF, en surveillant les IOC comme $HOME/.systemd-utils, les IP 45.76.155[.]14 et 82.163.22[.]139, et les hachages VirusTotal de GTIG pour MINOCAT, COMPOOD, SNOWLIGHT.
