以前のPeerBlight攻撃を基に、Google Threat Intelligenceは、中国関連クラスターと金銭的動機を持つアクターによるReact2Shell脆弱性(CVE-2025-55182)の悪用を報告。これにより、脆弱なReactおよびNext.jsシステムにバックドアと暗号通貨マイナーが展開されている。
以前のPeerBlight Linuxバックドアキャンペーンの報道で詳述されたように、React2Shell(CVE-2025-55182)を悪用するもの—2025年12月3日に公開されたReact Server Componentsの重大なRCE欠陥—追加の脅威アクターが攻撃を激化させた。この脆弱性(CVSS 10.0)は、不適切なペイロードデコードによりReactバージョン19.0、19.1.0、19.1.1、19.2.0に影響し、細工されたHTTPリクエストによる認証不要のコード実行を可能にする。
Google Threat Intelligence Group(GTIG)は、公開直後に中国関連グループUNC6600、UNC6586、UNC6588、UNC6603によるキャンペーンを観測した。UNC6600はcronジョブおよびsystemd経由でMINOCATトンネリングを展開;UNC6586はreactcdn.windowserrorapis[.]comにリンクするSNOWLIGHTダウンローダー;UNC6603はCloudflare/GitLabにホストされた更新版GoベースのHISONICバックドアを使用し、アジア太平洋クラウドを標的。追加マルウェアには、ユーティリティを装ったCOMPOODバックドアとタイムスタンプ操作付きSSHデーモン模倣のANGRYREBEL.LINUXが含まれる。
12月5日から、金銭的動機を持つアクターがsex.shを使用してXMRigマイナーを展開し、偽の'system-update-service' systemdサービスを作成。インメモリウェブシェルを含むエクスプロイトリポジトリが急増。
緩和策として、React 19.0.1、19.1.2、または19.2.1+へのアップグレード、Cloud Armor WAFの使用、$HOME/.systemd-utilsやIP 45.76.155[.]14、82.163.22[.]139などのIOC監視、GTIGのVirusTotalハッシュ(MINOCAT、COMPOOD、SNOWLIGHT)を活用。
