Er is waargenomen dat twee hackgroepen met banden met China de onlangs onthulde beveiligingsfout in React Server Components (RSC) hebben bewapend binnen enkele uren nadat deze publiekelijk bekend werd.
De kwetsbaarheid in kwestie is CVE-2025-55182 (CVSS-score: 10,0), ook wel React2Shell genoemd, waarmee niet-geverifieerde code op afstand kan worden uitgevoerd. Het is aangepakt in React-versies 19.0.1, 19.1.2 en 19.2.1.
Volgens een nieuw rapport gedeeld door Amazon Web Services (AWS) is waargenomen dat twee aan China gelinkte bedreigingsactoren, bekend als Earth Lamia en Jackpot Panda, proberen misbruik te maken van de uiterst ernstige beveiligingsfout.
“Onze analyse van exploitatiepogingen in de AWS MadPot-honeypot-infrastructuur heeft exploitatie-activiteiten geïdentificeerd van IP-adressen en infrastructuur die historisch verbonden zijn met bekende Chinese staatsnexusbedreigingsactoren”, zegt CJ Moses, CISO van Amazon Integrated Security, in een rapport gedeeld met The Hacker News.
Concreet zei de technologiegigant dat het infrastructuur had geïdentificeerd die verband houdt met Earth Lamia, een Chinese nexusgroep die werd toegeschreven aan aanvallen waarbij eerder dit jaar gebruik werd gemaakt van een kritieke SAP NetWeaver-fout (CVE-2025-31324).
De hackploeg heeft zich gericht op sectoren in de financiële dienstverlening, logistiek, detailhandel, IT-bedrijven, universiteiten en overheidsorganisaties in Latijns-Amerika, het Midden-Oosten en Zuidoost-Azië.
De aanvalsinspanningen zijn ook afkomstig van infrastructuur die verband houdt met een andere Chinese cyberbedreigingsacteur, bekend als Jackpot Panda, die voornamelijk entiteiten heeft uitgekozen die zich bezighouden met online gokactiviteiten of deze ondersteunen in Oost- en Zuidoost-Azië.
Volgens CrowdStrike is Jackpot Panda actief sinds ten minste 2020 en heeft het zich gericht op vertrouwde relaties van derden in een poging kwaadaardige implantaten in te zetten en initiële toegang te verkrijgen. De bedreigingsacteur was met name verbonden met de supply chain-compromis van een chat-app die bekend staat als Comm100 in september 2022. De activiteit wordt door ESET gevolgd als Operatie ChattyGoblin.
Sindsdien is gebleken dat een Chinese hacker, I-Soon, mogelijk betrokken is geweest bij de aanval op de toeleveringsketen, daarbij verwijzend naar overlappingen in de infrastructuur. Interessant genoeg waren de aanvallen van de groep in 2023 vooral gericht op Chineessprekende slachtoffers, wat wijst op mogelijk binnenlands toezicht.
“Begin mei 2023 gebruikte de tegenstander een trojan-installatieprogramma voor CloudChat, een in China gevestigde chatapplicatie die populair is bij illegale, Chineessprekende gokgemeenschappen op het vasteland van China”, zei CrowdStrike in zijn vorig jaar uitgebrachte Global Threat Report.
“Het getrojaniseerde installatieprogramma dat vanaf de website van CloudChat werd aangeboden, bevatte de eerste fase van een uit meerdere stappen bestaand proces dat uiteindelijk XShade implementeerde: een nieuw implantaat met code die overlapt met het unieke CplRAT-implantaat van Jackpot Panda.”
Amazon zei dat het ook bedreigingsactoren heeft gedetecteerd die 2025-55182 exploiteren, samen met andere N-day-fouten, waaronder een kwetsbaarheid in NUUO Camera (CVE-2025-1338, CVSS-score: 7,3), wat duidt op bredere pogingen om het internet te scannen op niet-gepatchte systemen.
De waargenomen activiteit omvat pogingen om detectieopdrachten uit te voeren (bijvoorbeeld whoami), bestanden te schrijven (“/tmp/pwned.txt”) en bestanden te lezen die gevoelige informatie bevatten (bijvoorbeeld “/etc/passwd”).
“Dit demonstreert een systematische aanpak: bedreigingsactoren monitoren op nieuwe onthullingen van kwetsbaarheden, integreren snel publieke exploits in hun scaninfrastructuur en voeren tegelijkertijd brede campagnes over meerdere Common Vulnerabilities and Exposures (CVE’s) om hun kansen op het vinden van kwetsbare doelen te maximaliseren,” zei Moses.
Cloudflare geeft de schuld aan de React2Shell-patch
De ontwikkeling komt op het moment dat Cloudflare te maken kreeg met een korte maar wijdverbreide storing waardoor websites en online platforms het bericht “500 Internal Server Error” retourneerden.
“Een wijziging in de manier waarop Cloudflare’s Web Application Firewall verzoeken parseert, zorgde ervoor dat het netwerk van Cloudflare vanochtend enkele minuten niet beschikbaar was”, zei de webinfrastructuurprovider vrijdag in een verklaring. “Dit was geen aanval; de wijziging is door ons team geïmplementeerd om de branchebrede kwetsbaarheid te helpen verminderen die deze week in React Server Components is onthuld.”
