olarak bilinen güvenlik açığı React2Shell Palo Alto Networks Unit 42 ve NTT Security’nin bulgularına göre, KSwapDoor ve ZnDoor gibi kötü amaçlı yazılım ailelerini yaymak için tehdit aktörleri tarafından istismar ediliyor.
Palo Alto Networks Birim 42’deki tehdit istihbaratı araştırmalarının kıdemli yöneticisi Justin Moore, yaptığı açıklamada, “KSwapDoor, gizlilik göz önünde bulundurularak tasarlanmış, profesyonelce tasarlanmış bir uzaktan erişim aracıdır” dedi.
“Gizli sunucuların birbirleriyle konuşmasına ve güvenlik bloklarından kaçmasına olanak tanıyan dahili bir ağ oluşturuyor. İletişimlerini gizlemek için askeri düzeyde şifreleme kullanıyor ve en endişe verici olanı, saldırganların kötü amaçlı yazılımı gizli, görünmez bir sinyalle uyandırarak güvenlik duvarlarını aşmasına olanak tanıyan bir ‘uyuyan’ modu bulunuyor.”
Siber güvenlik şirketi, daha önce yanlışlıkla BPFDoor olarak sınıflandırıldığını belirterek, Linux arka kapısının etkileşimli kabuk, komut yürütme, dosya işlemleri ve yanal hareket tarama yetenekleri sunduğunu ekledi. Ayrıca tespitten kaçınmak için meşru bir Linux çekirdek takas arka plan programının kimliğine bürünür.
İlgili bir gelişmede NTT Security, Japonya’daki kuruluşların, Aralık 2023’ten bu yana ortalıkta tespit edildiği değerlendirilen kötü amaçlı yazılım ZnDoor’u dağıtmak için React2Shell’i kullanan siber saldırıların hedefi olduğunu söyledi. Saldırı zincirleri, yükü uzak bir sunucudan almak için bir bash komutunun çalıştırılmasını içerir (45.76.155)[.]14) wget’i kullanma ve çalıştırma.
Uzaktan erişim truva atı, komutları almak ve bunları ana makinede yürütmek için aynı tehdit aktörü tarafından kontrol edilen altyapıyla iletişim kurar. Desteklenen komutlardan bazıları aşağıda listelenmiştir:
- kabuk, bir komutu yürütmek için
- interaktif_shell, etkileşimli bir kabuk başlatmak için
- Explorer, dizinlerin bir listesini almak için
- explorer_cat, bir dosyayı okumak ve görüntülemek için
- explorer_delete, bir dosyayı silmek için
- explorer_upload, sunucudan bir dosya indirmek için
- explorer_download, dosyaları sunucuya göndermek için
- sistem bilgilerini toplamak için
- change_timefile, bir dosyanın zaman damgasını değiştirmek için
- Socket_quick_startstreams, SOCKS5 proxy’sini başlatmak için
- start_in_port_forward, bağlantı noktası iletmeyi başlatmak için
- stop_in_port, bağlantı noktası iletmeyi durdurmak için
Açıklama, CVE-2025-55182 (CVSS puanı: 10.0) olarak takip edilen güvenlik açığının birden fazla tehdit aktörü tarafından istismar edilmesinin ardından geldi; Google, bir dizi yük sağlamak üzere silah haline getirilen en az beş Çin bağlantılı grubu belirledi.
- UNC6600, MINOCAT adında bir tünel açma yardımcı programı sunacak
- UNC6586, SNOWLIGHT adlı bir indirici sunacak
- UNC6588, COMPOOD adında bir arka kapı sunacak
- UNC6603, şifrelenmiş yapılandırmayı almak ve meşru ağ etkinliğine uyum sağlamak için Cloudflare Pages ve GitLab’ı kullanan HISONIC adlı Go arka kapısının güncellenmiş bir sürümünü sunacak
- UNC6595, ANGRYREBEL’in (diğer adıyla Noodle RAT) Linux sürümünü sunacak
Microsoft, CVE-2025-55182’ye ilişkin kendi tavsiye belgesinde, tehdit aktörlerinin, bilinen Cobalt Strike sunucularına ters kabuklar ayarlamak ve ardından MeshAgent gibi uzaktan izleme ve yönetim (RMM) araçlarını bırakmak, yetkili_anahtarlar dosyasını değiştirmek ve kök oturum açmayı etkinleştirmek dahil olmak üzere, istismar sonrası için rastgele komutlar çalıştırmak üzere bu kusurdan yararlandığını söyledi.
Bu saldırılarda sunulan yüklerden bazıları arasında VShell, EtherRAT, SNOWLIGHT, ShadowPad ve XMRig yer alıyor. Saldırılar aynı zamanda güvenlik savunmalarından kaçmak için Cloudflare Tüneli uç noktalarının (“*.trycloudflare.com”) kullanılmasının yanı sıra, yanal hareketi ve kimlik bilgileri hırsızlığını kolaylaştırmak için tehlikeye atılan ortamların keşfiyle de karakterize edilir.
Windows üreticisi, kimlik bilgisi toplama etkinliğinin Azure, Amazon Web Hizmetleri (AWS), Google Bulut Platformu (GCP) ve Tencent Cloud için Azure Örnek Meta Veri Hizmeti (IMDS) uç noktalarını hedeflediğini ve nihai amacın bulut altyapılarının daha derinlerine inmek için kimlik belirteçleri elde etmeyi hedeflediğini söyledi.
Microsoft Defender Güvenlik Araştırma Ekibi, “Saldırganlar ayrıca TruffleHog ve Gitleaks gibi gizli keşif araçlarının yanı sıra birkaç farklı sırrı ortaya çıkarmak için özel komut dosyaları da kullandı.” dedi. “OpenAI API anahtarları, Databricks belirteçleri ve Kubernetes hizmet hesabı kimlik bilgileri gibi yapay zeka ve bulutta yerel kimlik bilgilerini toplama girişimleri de gözlemlendi. Belirteçleri elde etmek için Azure Komut Satırı Arayüzü (CLI) (az) ve Azure Geliştirici CLI (azd) de kullanıldı.”
Beelzebub tarafından ayrıntılı olarak açıklanan başka bir kampanyada, tehdit aktörlerinin, kimlik bilgilerinin ve hassas verilerin sistematik olarak çıkarılmasını sağlamak için Next.js’deki CVE-2025-29927 ve CVE-2025-66478 (kopya olarak reddedilmeden önceki aynı React2Shell hatası) dahil olmak üzere kusurlardan yararlandığı gözlemlendi.
- .env, .env.local, .env.prodüksiyon, .env.development
- Sistem ortamı değişkenleri (printenv, env)
- SSH anahtarları (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*)
- Bulut kimlik bilgileri (~/.aws/credentials, ~/.docker/config.json
- Git kimlik bilgileri (~/.git-credentials, ~/.gitconfig)
- Komut geçmişi (~/.bash_history’den son 100 komut)
- Sistem dosyaları (/etc/shadow, /etc/passwd)
Kötü amaçlı yazılım aynı zamanda sistem yeniden başlatmalarında hayatta kalmak için ana bilgisayarda kalıcılık oluşturmaya, bir SOCKS5 proxy yüklemeye ve “67.217.57”ye bir ters kabuk oluşturmaya devam ediyor[.]240:888″ ve daha fazla yayılma için interneti araştırmak üzere bir React tarayıcı yükleyin.
PCPcat Operasyonu kod adlı etkinliğin halihazırda 59.128 sunucuyu ihlal ettiği tahmin ediliyor. İtalyan şirket, “Kampanya, büyük ölçekli istihbarat operasyonlarının ve endüstriyel ölçekte veri sızmasının özelliklerini gösteriyor” dedi.
Shadowserver Foundation şu anda ABD’de 77.800’den fazla örnekle React2Shell saldırılarına karşı savunmasız 111.000’den fazla IP adresini izliyor ve bunu Almanya (7.500), Fransa (4.000) ve Hindistan (2.300) takip ediyor. GreyNoise’dan elde edilen veriler, son 24 saat içinde ABD, Hindistan, İngiltere, Singapur ve Hollanda’dan 547 kötü amaçlı IP adresinin istismar çabalarına katıldığını gösteriyor.