Çin ile bağlantısı olan iki bilgisayar korsanlığı grubunun, React Server Components’ta (RSC) yeni açıklanan güvenlik kusurunu, kamuya açıklandıktan birkaç saat sonra silah haline getirdiği gözlemlendi.
Söz konusu güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren CVE-2025-55182 (CVSS puanı: 10.0), diğer adıyla React2Shell’dir. React 19.0.1, 19.1.2 ve 19.2.1 sürümlerinde bu konuya değinilmiştir.
Amazon Web Services (AWS) tarafından paylaşılan yeni bir rapora göre, Earth Lamia ve Jackpot Panda olarak bilinen Çin bağlantılı iki tehdit aktörünün maksimum önemdeki güvenlik açığından yararlanmaya çalıştığı gözlemlendi.
Amazon Integrated Security’nin CISO’su CJ Moses, The Hacker News ile paylaşılan bir raporda şunları söyledi: “AWS MadPot bal küpü altyapısındaki istismar girişimlerine ilişkin analizimiz, tarihsel olarak bilinen Çin devlet bağlantısı tehdit aktörleriyle bağlantılı olan IP adresleri ve altyapıdaki istismar faaliyetlerini tespit etti.”
Teknoloji devi özellikle, bu yılın başlarında kritik bir SAP NetWeaver kusurunu (CVE-2025-31324) kullanan saldırılara atfedilen, Çin bağlantılı bir grup olan Earth Lamia ile ilişkili altyapıyı tespit ettiğini söyledi.
Bilgisayar korsanlığı ekibi, Latin Amerika, Orta Doğu ve Güneydoğu Asya’daki finansal hizmetler, lojistik, perakende, BT şirketleri, üniversiteler ve devlet kuruluşlarındaki sektörleri hedef aldı.
Saldırı çabaları ayrıca, Doğu ve Güneydoğu Asya’da çevrimiçi kumar operasyonlarıyla ilgilenen veya bunları destekleyen kuruluşları öncelikli olarak seçen Jackpot Panda olarak bilinen Çin bağlantılı başka bir siber tehdit aktörüyle ilgili altyapıdan da kaynaklandı.
CrowdStrike’a göre Jackpot Panda’nın en az 2020’den beri aktif olduğu değerlendiriliyor ve kötü amaçlı implantları dağıtmak ve ilk erişim elde etmek amacıyla güvenilir üçüncü taraf ilişkilerini hedef alıyor. Tehdit aktörünün Eylül 2022’de Comm100 olarak bilinen bir sohbet uygulamasının tedarik zinciri ihlaliyle bağlantılı olduğu dikkat çekiyor. Etkinlik, ESET tarafından ChattyGoblin Operasyonu olarak izleniyor.
O zamandan beri, altyapı çakışmaları nedeniyle Çinli bir bilgisayar korsanlığı yüklenicisi olan I-Soon’un tedarik zinciri saldırısına karışmış olabileceği ortaya çıktı. İlginçtir ki, grup tarafından 2023’te gerçekleştirilen saldırılar öncelikle Çince konuşan kurbanlara odaklandı, bu da olası iç gözetime işaret ediyor.
CrowdStrike, geçen yıl yayınladığı Küresel Tehdit Raporunda, “Mayıs 2023’ten itibaren, düşman, Çin Anakarasındaki yasadışı, Çince konuşan kumar toplulukları arasında popüler olan Çin merkezli bir sohbet uygulaması olan CloudChat için truva atı haline getirilmiş bir yükleyici kullandı.” dedi.
“CloudChat’in web sitesinden sunulan truva atı haline getirilmiş yükleyici, sonuçta Jackpot Panda’nın benzersiz CplRAT implantıyla örtüşen koda sahip yeni bir implant olan XShade’i konuşlandıran çok adımlı bir sürecin ilk aşamasını içeriyordu.”
Amazon ayrıca, NUUO Kameradaki (CVE-2025-1338, CVSS puanı: 7,3) bir güvenlik açığı da dahil olmak üzere diğer N-günlük kusurların yanı sıra 2025-55182’yi istismar eden tehdit aktörlerinin de tespit edildiğini, bunun da yamalanmamış sistemler için interneti taramak için daha geniş girişimlerde bulunulduğunu öne sürdüğünü söyledi.
Gözlemlenen etkinlik, keşif komutlarını çalıştırma (örn. whoami), dosya yazma (“/tmp/pwned.txt”) ve hassas bilgiler içeren dosyaları okuma (örn. “/etc/passwd”) girişimlerini içerir.
Moses, “Bu sistematik bir yaklaşımı gösteriyor: Tehdit aktörleri yeni güvenlik açığı açıklamalarını izliyor, kamuya açık istismarları tarama altyapılarına hızlı bir şekilde entegre ediyor ve savunmasız hedefleri bulma şanslarını en üst düzeye çıkarmak için aynı anda birden fazla Ortak Güvenlik Açıkları ve Etkilenmeler (CVE’ler) genelinde geniş kampanyalar yürütüyor” dedi.