Bygger på tidigare PeerBlight-attacker rapporterar Google Threat Intelligence utnyttjande av React2Shell-sårbarheten (CVE-2025-55182) av Kina-nexuskluster och finansiellt motiverade aktörer som distribuerar bakdörrar och kryptominerare på sårbara React- och Next.js-system.
Som detaljerats i tidigare rapportering om PeerBlight Linux-bakdörrskampanjen som utnyttjar React2Shell (CVE-2025-55182)—en kritisk RCE-brist i React Server Components som offentliggjordes 3 december 2025—har ytterligare hotaktörer intensifierat attackerna. Sårbarheten (CVSS 10.0) påverkar React-versioner 19.0, 19.1.0, 19.1.1 och 19.2.0 på grund av felaktig payload-dekodning, vilket möjliggör oautentiserad kodexekvering via manipulerade HTTP-förfrågningar.
Google Threat Intelligence Group (GTIG) observerade kampanjer från Kina-nexusgrupper UNC6600, UNC6586, UNC6588 och UNC6603 kort efter offentliggörandet. UNC6600 distribuerar MINOCAT-tunneling via cron-jobb och systemd; UNC6586 använder SNOWLIGHT-downloader länkad till reactcdn.windowserrorapis[.]com; UNC6603 använder uppdaterad Go-baserad HISONIC-bakdörr hostad på Cloudflare/GitLab, riktad mot Asien-Stillahavs moln. Ytterligare skadlig kod inkluderar COMPOOD-bakdörr (utklädd till verktyg) och ANGRYREBEL.LINUX (SSH-demonimitation med timestomping).
Från 5 december har finansiellt motiverade aktörer distribuerat XMRig-minerare med sex.sh, skapar falska 'system-update-service' systemd-tjänster. Exploit-repos, inklusive in-memory webshells, sprids.
Mildra genom uppgradering till React 19.0.1, 19.1.2 eller 19.2.1+, använd Cloud Armor WAF, övervaka IOC som $HOME/.systemd-utils, IP-adresser 45.76.155[.]14 och 82.163.22[.]139, samt GTIG:s VirusTotal-hashar för MINOCAT, COMPOOD, SNOWLIGHT.
