React2Shell を悪用する大規模な攻撃:KSwapDoor/ZnDoor などの Linux バックドアを拡散

React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors

2025/12/16 TheHackerNews — React2Shell (CVE-2025-55182 ) として知られるセキュリティ脆弱性を悪用する脅威アクターたちが、KSwapDoor/ZnDoor などのマルウェア・ファミリーを拡散していることを、Palo Alto Networks Unit 42NTT Security の調査結果が示している。Palo Alto Networks Unit 42 の Senior Manager of Threat Intel Research である Justin Moore は、「KSwapDoor は、ステルス性を念頭に設計された、リモート・アクセス・ツールである」と述べている。

さらに Justin Moore は、「KSwapDoor は内部メッシュ・ネットワークを構築し、侵害されたサーバ同士が通信することで、セキュリティ・ブロックを回避するように設計されている。通信を隠蔽するために用いられるのは、軍用レベルの暗号化である。最も憂慮すべき点は、この攻撃者が、可視化されない信号でマルウェアを起動させてファイアウォールを回避する、スリーパー・モードを備えている点である」と説明している。

Unit 42 が指摘するのは、以前の KSwapDoor が、誤って BPFDoor に分類されていたことである。この Linux バックドアが備えているのは、対話型シェル/コマンド実行/ファイル操作/ラテラル・ムーブメント・スキャン機能などであり、正規の Linux kernel スワップ・デーモンを偽装することで検出を回避する。

関連情報として、NTT Security が公表したのは、React2Shell を悪用するサイバー攻撃で日本の組織が標的となり、ZnDoor が展開されている状況である。ZnDoor というマルウェアは、2023年12月以降において実環境での検出が報告されている。その攻撃チェーンは、bash コマンドを実行し、wget を使用してリモート・サーバ “45.76.155[.]14” からペイロードを取得し、実行するという構成である。

ある RAT (Remote Access Trojan) は、同一の脅威アクターが管理するインフラストラクチャに接続し、コマンドを受信してホスト上で実行している。そこでサポートされているコマンドの一部を以下に示す。

  • shell:コマンドを実行する
  • interactive_shell:対話型シェルを起動する
  • explorer:ディレクトリの一覧を取得する
  • explorer_cat:ファイルを読み込んで表示する
  • explorer_delete:ファイルを削除する
  • explorer_upload:サーバへファイルをアップロードする
  • explorer_download:サーバからファイルをダウンロードする
  • system:システム情報を収集する
  • change_timefile:ファイルのタイムスタンプを変更する
  • socket_quick_startstreams:SOCKS5 プロキシを開始する
  • start_in_port_forward:ポート転送を開始する
  • stop_in_port:ポート転送を停止する

React2Shell と呼ばれる脆弱性 CVE-2025-55182 は CVSS スコア 10.0 と評価されており、複数の脅威アクターにより悪用されている。Google は、この脆弱性を武器化した少なくとも5つの中国系グループを特定している。配信されるペイロードは、以下のとおりである。

  • UNC6600:MINOCAT というトンネリング・ユーティリティ
  • UNC6586:SNOWLIGHT というダウンローダー
  • UNC6588:COMPOOD というバックドア
  • UNC6603:Cloudflare Pages/GitLab を悪用して暗号化設定を取得し、正規のネットワーク・アクティビティに紛れる HISONIC の Go 言語アップデート版
  • UNC6595:ANGRYREBEL/Noodle RAT の Linux 版

Microsoft は CVE-2025-55182 に関するアドバイザリで、この脆弱性を悪用する脅威アクターが、任意のコマンドを実行したと述べている。具体的には、既知の Cobalt Strike サーバへのリバース・シェル設定/MeshAgent などのリモート監視・管理 (RMM) ツールのドロップ/authorized_keys の改ざん/root ログインの有効化などである。

これらの攻撃で配信されるペイロードには、VShell/EtherRAT/SNOWLIGHT/ShadowPad/XMRig などが含まれる。また、Cloudflare Tunnel エンドポイント “*.trycloudflare.com” を悪用することでセキュリティ防御を回避し、侵害環境の偵察/ラテラル・ムーブメント/認証情報の窃取を容易にしている。

Microsoft によると、不正に収集される認証情報はクラウド・インフラ深部への侵入を可能にする ID トークンであり、Azure/AWS/GCP/Tencent Cloud などのクラウド環境の Instance Metadata Service (IMDS) を標的としているという。

Microsoft Defender セキュリティ・リサーチ・チームは、「この攻撃者が展開するものは、TruffleHog/Gitleaks などの機密情報検出ツールに加え、各種の機密情報を抽出するカスタム・スクリプトもある。具体的には、OpenAI API キー/Databricks トークン/Kubernetes サービス・アカウント資格情報なども収集されており、トークン取得には Azure CLI (az) および Azure Developer CLI (azd) が使用された」と述べている。


ハニーポット・フレームワーク Beelzebub の開発チームは、「別のキャンペーンでは、この脅威アクターが Next.js の脆弱性 CVE-2025-29927/CVE-2025-66478 を悪用し、認証情報および機密データを体系的に抽出していることが確認された」と報告している。

  • .env/.env.local/.env.production/.env.development
  • システム環境変数 (printenv/env)
  • SSH キー (~/.ssh/id_rsa/~/.ssh/id_ed25519//root/.ssh/*)
  • クラウド認証情報 (~/.aws/credentials/~/.docker/config.json)
  • Git 認証情報 (~/.git-credentials/~/.gitconfig)
  • コマンド履歴 (~/.bash_history、直近 100 件)
  • システムファイル (/etc/shadow//etc/passwd)

このマルウェアは永続性を確立し、SOCKS5 プロキシをインストールし、 “67.217.57[.]240:888” へのリバース・シェルを確立し、React スキャナをインストールすることで、インターネット上のターゲットを調査している。

この Operation PCPcat と呼ばれる活動は、すでに 59,128 台のサーバへの侵入を成功させたと推定されている。一連の活動を調査したイタリア企業は、「このキャンペーンは、大規模な諜報活動とデータ窃取の特徴を示している」と評価している。

その一方で、Shadowserver Foundation は、React2Shell 攻撃に対して脆弱な 111,000 以上の IP アドレスを追跡しており、そのうちの 77,800 以上が米国に所在していると報告している。それに続くのが、ドイツ (7,500)/フランス (4,000)/インド (2,300) である。また、GreyNoise のデータによると、悪意の IP は 547 件であり、米国/インド/英国/シンガポール/オランダ において、過去 24 時間以内に攻撃試行が観測されているという。

この問題の原因は、Web アプリなどで広く悪用される脆弱性を突く攻撃者が、外部から OS のコマンドを直接実行する点にあります。この入り口が突破されると、KSwapDoorなどの高度なマルウェアが送り込まれます。これらのプログラムは、OS の正規の機能を装い高度な暗号化を用いることで、セキュリティ・ソフトによる検出を巧妙にかいくぐる設計になっています。この攻撃の目的は、システムの破壊ではなく、クラウドの認証情報やAPIキー/SSHキーといった機密情報の窃取に重点を置いているようです。React および Next.js などを利用するチームは、ご注意ください。よろしければ、 React2Shell での検索結果も、ご参照ください。