Google Warns Multiple Hacker Groups Are Exploiting React2Shell to Spread Malware
2025/12/13 CyberSecurityNews — Google Threat Intelligence Group (GTIG) が発表したのは、React Server Components に存在する深刻なセキュリティ脆弱性 CVE-2025-55182 が広範に悪用されている状況に対する警告である。この脆弱性 React2Shell を悪用する攻撃者は、パスワードを必要とせず、リモートからサーバを制御できる。2025年12月3日に脆弱性が公開された後に、複数のハッカー・グループが悪用していることを Google は確認している。攻撃者たちは、国家に支援されるスパイ・グループから、金銭的利益を目的とするサイバー犯罪者まで多岐にわたる。
脅威アクターとマルウェア・キャンペーン
Google の研究者たちが特定したのは、パッチ未適用のシステムを標的とする複数のキャンペーンの存在である。観測された主な活動は次のとおりである。
- 中国由来のスパイ活動:中国に関連する China-Nexus グループは React2Shell を悪用することで、バックドアやステルス・ツールを展開している。UNC6600 は MINOCAT トンネラをインストールし、被害者ネットワークへの秘密裏のアクセスを維持している。UNC6603 は HISONIC バックドアの最新バージョンを使用し、Cloudflare などの正規サービスを介して通信することでトラフィックを隠蔽している。
- 金融サイバー犯罪:この脆弱性を悪用する攻撃者は、暗号通貨マイナーをインストールしている。あるインシデントでは、犯罪者が XMRig を導入し、被害者のサーバ・リソースを悪用してデジタル通貨をマイニングしていた。
- その他の脅威:他に確認されているマルウェアには、SNOWLIGHT ダウンローダ/COMPOOD バックドアが含まれる。いずれも、データ窃取や追加の悪意のソフトウェアのロードに使用される。
React2Shell の CVSS v3 スコアは 10.0 と評価されている。この脆弱性は、現代の Web サイト構築において広く使用される React/Next.js の特定バージョンに影響する。その結果として、数多くの組織がリスクに晒されている。
Google が警告するのは、すでに正規のエクスプロイト・コードが公開され、攻撃の実行容易性が大きく高まっている点である。初期のエクスプロイト・ツールの一部には、偽物や破損したものも存在していたが、現在では Web シェルを直接メモリにインストールできる機能的な手法が出回っている。
セキュリティ専門家が管理者に対して強く推奨するのは、影響を受けるシステムに対して、速やかにパッチを適用することだ。Next.js または React Server Components を使用する組織は、安全なバージョンを実行していることを確認し、不正アクセスを防止する必要がある。
IoC
| Indicator | Type | Description |
reactcdn.windowserrorapis[.]com | Domain | SNOWLIGHT C2 and Staging Server |
82.163.22[.]139 | IP Address | SNOWLIGHT C2 Server |
216.158.232[.]43 | IP Address | Staging server for sex.sh script |
45.76.155[.]14 | IP Address | COMPOOD C2 and Payload Staging Server |
df3f20a961d29eed46636783b71589c183675510737c984a11f78932b177b540 | SHA256 | HISONIC sample |
92064e210b23cf5b94585d3722bf53373d54fb4114dca25c34e010d0c010edf3 | SHA256 | HISONIC sample |
0bc65a55a84d1b2e2a320d2b011186a14f9074d6d28ff9120cb24fcc03c3f696 | SHA256 | ANGRYREBEL.LINUX sample |
13675cca4674a8f9a8fabe4f9df4ae0ae9ef11986dd1dcc6a896912c7d527274 | SHA256 | XMRIG Downloader Script (filename: sex.sh) |
7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a | SHA256 | SNOWLIGHT sample (filename: linux_amd64) |
776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273 | SHA256 | MINOCAT sample |
React Server Components (RSC) の深刻な脆弱性 React2Shell への攻撃が続いているようです。RSC という Web 開発の重要な機能に潜んでいる、認証バイパスを介してリモートからサーバを制御できてしまうという深刻な状況にあります。この脆弱性 CVE-2025-55182 の悪用には認証が全く必要とされず、外部から直接サーバーを制御するリモート・コード実行が可能になります。すでに国家レベルのスパイ活動や、金銭目的のサイバー犯罪グループなどの、多様な攻撃者による悪用が確認されており、パッチが未適用のシステムが狙われています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-55182 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.