Membangun dari serangan PeerBlight sebelumnya, Google Threat Intelligence melaporkan eksploitasi kerentanan React2Shell (CVE-2025-55182) oleh kluster nexus China dan pelaku bermotivasi finansial yang menyebarkan backdoor dan penambang kripto pada sistem React dan Next.js yang rentan.
Seperti yang dirinci dalam liputan sebelumnya tentang kampanye backdoor Linux PeerBlight yang mengeksploitasi React2Shell (CVE-2025-55182)—cacat RCE kritis di React Server Components yang diungkap pada 3 Desember 2025—pelaku ancaman tambahan telah meningkatkan serangan. Kerentanan (CVSS 10.0) memengaruhi versi React 19.0, 19.1.0, 19.1.1, dan 19.2.0 karena dekoding payload yang tidak tepat, memungkinkan eksekusi kode tidak terautentikasi melalui permintaan HTTP yang dibuat-buat.
Google Threat Intelligence Group (GTIG) mengamati kampanye oleh kelompok nexus China UNC6600, UNC6586, UNC6588, dan UNC6603 segera setelah pengungkapan. UNC6600 menyebarkan terowongan MINOCAT melalui tugas cron dan systemd; UNC6586 menggunakan downloader SNOWLIGHT yang terkait dengan reactcdn.windowserrorapis[.]com; UNC6603 menggunakan backdoor HISONIC berbasis Go yang diperbarui yang dihosting di Cloudflare/GitLab, menargetkan cloud Asia-Pasifik. Malware tambahan mencakup backdoor COMPOOD (berpura-pura sebagai utilitas) dan ANGRYREBEL.LINUX (peniruan daemon SSH dengan timestomping).
Mulai 5 Desember, pelaku bermotivasi finansial menyebarkan penambang XMRig menggunakan sex.sh, membuat layanan systemd palsu 'system-update-service'. Repo eksploitasi, termasuk webshell di memori, sedang menyebar.
Mitigasi dengan meningkatkan ke React 19.0.1, 19.1.2, atau 19.2.1+, menggunakan Cloud Armor WAF, memantau IOC seperti $HOME/.systemd-utils, IP 45.76.155[.]14 dan 82.163.22[.]139, dan hash VirusTotal GTIG untuk MINOCAT, COMPOOD, SNOWLIGHT.
