React2Shell Huntress’in yeni bulgularına göre, tehdit aktörlerinin kripto para madencilerini ve daha önce belgelenmemiş bir dizi kötü amaçlı yazılım ailesini sunmak için React Sunucu Bileşenleri’ndeki (RSC) maksimum güvenlik açığından yararlandığı ağır istismara tanık olmaya devam ediyor.
Buna PeerBlight adı verilen bir Linux arka kapısı, CowTunnel adı verilen bir ters proxy tüneli ve ZinFoq adı verilen Go tabanlı bir kullanım sonrası implant dahildir.
Siber güvenlik şirketi, saldırganların RSC’de kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı olan CVE-2025-55182 aracılığıyla çok sayıda kuruluşu hedef aldığını gözlemlediğini söyledi. 8 Aralık 2025 itibarıyla bu çabalar, inşaat ve eğlence sektörleri başta olmak üzere geniş bir sektör yelpazesine yöneliktir.
Huntress tarafından bir Windows uç noktasında kaydedilen ilk yararlanma girişimi, bilinmeyen bir tehdit aktörünün Next.js’nin savunmasız bir örneğini kullanarak bir kabuk komut dosyasını bıraktığı ve ardından bir kripto para madencisini ve bir Linux arka kapısını bırakma komutlarını kullandığı 4 Aralık 2025’e kadar uzanıyor.
Diğer iki vakada ise saldırganların keşif komutlarını başlattıkları ve bir komuta ve kontrol (C2) sunucusundan çeşitli veriler indirmeye çalıştıkları gözlemlendi. Dikkate değer izinsiz girişlerden bazıları, XMRig kripto para birimi madencisini bırakan Linux ana bilgisayarlarını da seçti; saldırıyı başlatmadan önce savunmasız Next.js örneklerini belirlemek için halka açık bir GitHub aracından yararlanıldığından bahsetmeye bile gerek yok.
Huntress araştırmacıları, “Aynı güvenlik açığı araştırmaları, kabuk kodu testleri ve C2 altyapısı da dahil olmak üzere birden fazla uç noktada gözlemlenen tutarlı modele dayanarak, tehdit aktörünün büyük olasılıkla otomatik istismar araçlarından yararlandığını değerlendiriyoruz” dedi. “Bu, otomasyonun hedef işletim sistemleri arasında ayrım yapmadığını gösteren, Linux’a özgü yükleri Windows uç noktalarına dağıtma girişimleriyle de destekleniyor.”
Bu saldırılarda indirilen bazı veri yüklerinin kısa açıklaması şu şekildedir:
- seks.shXMRig 6.24.0’ı doğrudan GitHub’dan alan bir bash betiği
- PeerBlight2021’de ortaya çıkan iki kötü amaçlı yazılım ailesi RotaJakiro ve Pink ile bazı kod örtüşmelerini paylaşan bir Linux arka kapısı olan , kalıcılığı sağlamak için bir systemd hizmeti yükler ve tespitten kaçınmak için bir “ksoftirqd” arka plan programı işlemi gibi davranır.
- İnekTünelisaldırgan tarafından kontrol edilen Hızlı Ters Proxy (FRP) sunucularına giden bir bağlantı başlatan ve yalnızca gelen bağlantıları izlemek üzere yapılandırılmış güvenlik duvarlarını etkili bir şekilde atlayan bir ters proxy
- ZinFoqEtkileşimli kabuk, dosya işlemleri, ağ pivotlama ve zaman damgalama özelliklerine sahip bir kullanım sonrası çerçeve uygulayan bir Linux ELF ikili programı
- d5.shSliver C2 çerçevesini dağıtmaktan sorumlu bir damlalık komut dosyası
- fn22.shkötü amaçlı yazılımın yeni bir sürümünü getirip yeniden başlatmak için kendi kendini güncelleme mekanizması eklenmiş bir “d5.sh” çeşidi
- wocaosinm.shKaiji DDoS kötü amaçlı yazılımının uzaktan yönetim, kalıcılık ve kaçınma yeteneklerini bir araya getiren bir çeşidi
PeerBlight, sabit kodlu bir C2 sunucusuyla (“185.247.224) iletişim kurma yeteneklerini destekler[.]41:8443”), dosyaları yüklemesine/indirmesine/silmesine, ters kabuk oluşturmasına, dosya izinlerini değiştirmesine, isteğe bağlı ikili dosyaları çalıştırmasına ve kendisini güncellemesine olanak tanır. Arka kapı aynı zamanda geri dönüş C2 mekanizmaları olarak bir etki alanı oluşturma algoritmasını (DGA) ve BitTorrent Dağıtılmış Karma Tablo (DHT) ağını kullanır.
Araştırmacılar, “DHT ağına katıldığında, arka kapı kendisini sabit kodlanmış LOLlolLOL önekiyle başlayan bir düğüm kimliğiyle kaydeder” diye açıkladı. “Bu 9 baytlık önek, botnet için bir tanımlayıcı görevi görüyor ve 20 baytlık DHT düğüm kimliğinin kalan 11 baytı rastgele seçiliyor.”
“Arka kapı, düğüm listelerini içeren DHT yanıtları aldığında, kimlikleri LOLlolLOL ile başlayan diğer düğümleri tarar. Eşleşen bir düğüm bulduğunda, bunun ya başka bir virüslü makine ya da C2 yapılandırması sağlayabilecek, saldırgan tarafından kontrol edilen bir düğüm olduğunu bilir.”
Huntress, LOLlolLOL önekiyle 60’tan fazla benzersiz düğüm tespit ettiğini ve virüs bulaşmış bir botun C2 yapılandırmasını başka bir düğümle paylaşabilmesi için birden fazla koşulun karşılanması gerektiğini ekledi: geçerli bir istemci sürümü, yanıt veren bot tarafında yapılandırma kullanılabilirliği ve doğru işlem kimliği.
Gerekli tüm koşullar yerine getirildiğinde bile botlar, muhtemelen ağ gürültüsünü azaltmak ve tespit edilmekten kaçınmak amacıyla, rastgele bir kontrole dayalı olarak konfigürasyonu yalnızca üçte birini paylaşacak şekilde tasarlanmıştır.
ZinFoq, benzer şekilde C2 sunucusuna işaret verir ve “/bin/bash” kullanarak komutları çalıştırmak, dizinleri numaralandırmak, dosyaları okumak veya silmek, belirli bir URL’den daha fazla yük indirmek, dosyaları ve sistem bilgilerini sızdırmak, SOCKS5 proxy’yi başlatmak/durdurmak, TCP bağlantı noktası iletmeyi etkinleştirmek/devre dışı bırakmak, dosya erişimi ve değişiklik zamanlarını değiştirmek ve ters sözde terminal (PTY) kabuk bağlantısı kurmak için gelen talimatları ayrıştırmak için donatılmıştır.
ZinFoq ayrıca bash geçmişini temizlemek için adımlar atar ve varlığını gizlemek için kendisini 44 meşru Linux sistem hizmetinden biri olarak gizler (örneğin, “/sbin/audispd”, “/usr/sbin/ModemManager”, “/usr/libexec/colord” veya “/usr/sbin/cron -f”).
Huntress, react-server-dom-webpack, react-server-dom-parcel veya react-server-dom-turbopack’e güvenen kuruluşların, “potansiyel kullanım kolaylığı ve güvenlik açığının ciddiyeti” göz önüne alındığında, derhal güncelleme yapmaları gerektiğini söyledi.
Bu gelişme, Shadowserver Vakfı’nın, “tarama hedefleme iyileştirmelerinin” ardından 8 Aralık 2025 itibarıyla 165.000’den fazla IP adresi ve 644.000’den fazla güvenlik açığı kodlu alan tespit ettiğini açıklamasının ardından geldi. ABD’de 99.200’den fazla örnek bulunuyor, bunu Almanya (14.100), Fransa (6.400) ve Hindistan (4.500) izliyor.