文章总结： 攻击者正利用React2Shell漏洞(CVE-2025-55182)部署KSwapDoor和ZnDoor等Linux后门程序，日本成为重点攻击目标。多个威胁组织已将该漏洞武器化，主要目标是窃取云凭证，包括Azure、AWS和GCP等实例元数据服务端点。同时，Next.js漏洞也被组合利用进行系统性凭证窃取。Shadowserver基金会追踪到超过11.1万个易受攻击的IP地址，其中美国最多。 综合评分： 85 文章分类： 漏洞分析,恶意软件,威胁情报,数据泄露,网络安全

攻击者利用React2Shell漏洞部署Linux后门程序，日本成重点攻击目标

黑白之道

2025年12月22日 09:18 山东

根据Palo Alto Networks Unit 42和NTT Security的研究发现，威胁行为者正在利用名为React2Shell的安全漏洞传播KSwapDoor和ZnDoor等恶意软件家族。

Palo Alto Networks Unit 42威胁情报研究高级经理Justin Moore表示：”KSwapDoor是一款专业设计的远程访问工具，具有高度隐蔽性。它会构建内部网状网络，使受感染服务器相互通信以规避安全拦截。该工具采用军用级加密隐藏通信流量，最令人担忧的是具备’休眠’模式，攻击者可通过隐秘不可见的信号唤醒恶意软件来绕过防火墙。”

这家网络安全公司指出，该后门程序曾被误归类为BPFDoor，其Linux版本提供交互式shell、命令执行、文件操作和横向移动扫描功能，并通过伪装成合法的Linux内核交换守护进程来逃避检测。

Part01

日本成为重点攻击目标

NTT Security披露，日本机构正成为利用React2Shell漏洞部署ZnDoor恶意软件的攻击目标。该恶意软件自2023年12月起在野被发现。攻击链涉及执行bash命令，通过wget从远程服务器（45.76.155[.]14）获取有效载荷并执行。

这款远程访问木马会连接攻击者控制的基础设施接收指令，支持以下操作：

• shell – 执行命令
• interactive_shell – 启动交互式shell
• explorer – 获取目录列表
• explorer_cat – 读取显示文件
• explorer_delete – 删除文件
• explorer_upload – 从服务器下载文件
• explorer_download – 向服务器发送文件
• system – 收集系统信息
• change_timefile – 修改文件时间戳
• socket_quick_startstreams – 启动SOCKS5代理
• start_in_port_forward – 开启端口转发
• stop_in_port – 停止端口转发

Part02

多组攻击者利用高危漏洞

该漏洞（CVE-2025-55182，CVSS评分：10.0）已被多个威胁组织利用。谷歌发现至少五个相关联的组织将其武器化，用于投递多种有效载荷：

• UNC6600投递名为MINOCAT的隧道工具
• UNC6586投递名为SNOWLIGHT的下载器
• UNC6588投递名为COMPOOD的后门
• UNC6603投递Go语言后门HISONIC的更新版本（利用Cloudflare Pages和GitLab获取加密配置，混入合法网络流量）
• UNC6595投递Linux版ANGRYREBEL（又名Noodle RAT）

微软在安全公告中指出，攻击者利用该漏洞执行任意命令进行后期利用，包括：建立到已知Cobalt Strike服务器的反向shell、部署MeshAgent等远程监控管理（RMM）工具、修改authorized_keys文件以及启用root登录。

Part03

云凭证成为重点窃取目标

这些攻击中投递的有效载荷包括VShell、EtherRAT、SNOWLIGHT、ShadowPad和XMRig。攻击特征包括使用Cloudflare Tunnel端点（”*.trycloudflare.com”）规避安全防御，以及对受感染环境进行侦察以实施横向移动和凭证窃取。

微软表示，凭证窃取活动针对Azure、AWS和GCP等实例元数据服务（IMDS）端点，最终目的是获取身份令牌以深入云基础设施。微软安全研究团队称：”攻击者还部署了TruffleHog和Gitleaks等秘密发现工具及自定义脚本，同时观察到窃取OpenAI API密钥、Databricks令牌和Kubernetes服务账户凭证等云原生凭据的尝试。”

Part04

Next.js漏洞遭组合利用

Beelzebub披露的另一项攻击活动中，威胁行为者利用Next.js漏洞（包括CVE-2025-29927和CVE-2025-66478）系统性地窃取凭证和敏感数据：

• 各类环境配置文件（.env系列）
• 系统环境变量（printenv, env）
• SSH密钥（~/.ssh/id_rsa等）
• 云服务凭证（AWS、Docker配置）
• Git凭证
• 命令历史记录
• 系统关键文件（/etc/shadow等）

恶意软件还会建立持久化机制、安装SOCKS5代理、连接到”67.217.57[.]240:888″的反向shell，并安装React扫描器进行网络探测。代号为”Operation PCPcat”的攻击活动已入侵59,128台服务器，具有”工业级大规模情报收集和数据外泄特征”。

Shadowserver基金会目前追踪到超过11.1万个易受React2Shell攻击的IP地址，其中美国占7.78万个，德国（7500）、法国（4000）和印度（2300）紧随其后。GreyNoise数据显示，过去24小时内有547个来自美国、印度、英国、新加坡和荷兰的恶意IP参与漏洞利用。

参考来源：

React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors

https://thehackernews.com/2025/12/react2shell-vulnerability-actively.html

文章来源：FreeBuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《攻击者利用React2Shell漏洞部署Linux后门程序，日本成重点攻击目标》