Com base em ataques anteriores do PeerBlight, o Google Threat Intelligence relata a exploração da vulnerabilidade React2Shell (CVE-2025-55182) por clusters com nexo à China e atores motivados financeiramente que implantam backdoors e mineradores de criptomoedas em sistemas vulneráveis de React e Next.js.
Como detalhado na cobertura anterior da campanha de backdoor Linux PeerBlight que explora o React2Shell (CVE-2025-55182)—uma falha crítica de RCE em React Server Components divulgada em 3 de dezembro de 2025—, atores de ameaça adicionais intensificaram os ataques. A vulnerabilidade (CVSS 10.0) afeta as versões React 19.0, 19.1.0, 19.1.1 e 19.2.0 devido à decodificação inadequada de payload, permitindo execução de código não autenticada via requisições HTTP manipuladas.
O Google Threat Intelligence Group (GTIG) observou campanhas de grupos com nexo à China UNC6600, UNC6586, UNC6588 e UNC6603 logo após a divulgação. UNC6600 implanta túnel MINOCAT via jobs cron e systemd; UNC6586 usa downloader SNOWLIGHT ligado a reactcdn.windowserrorapis[.]com; UNC6603 emprega backdoor HISONIC atualizado baseado em Go hospedado no Cloudflare/GitLab, visando nuvens Ásia-Pacífico. Malware adicional inclui backdoor COMPOOD (disfarçado de utilitários) e ANGRYREBEL.LINUX (imitador de daemon SSH com timestomping).
A partir de 5 de dezembro, atores motivados financeiramente implantaram mineradores XMRig usando sex.sh, criando serviços systemd falsos 'system-update-service'. Repositórios de exploits, incluindo webshells em memória, estão proliferando.
Mitigar atualizando para React 19.0.1, 19.1.2 ou 19.2.1+, usando Cloud Armor WAF, monitorando IOCs como $HOME/.systemd-utils, IPs 45.76.155[.]14 e 82.163.22[.]139, e hashes VirusTotal do GTIG para MINOCAT, COMPOOD, SNOWLIGHT.
