Reageer2Shell Volgens nieuwe bevindingen van Huntress is er nog steeds sprake van zware uitbuiting, waarbij bedreigingsactoren gebruik maken van de uiterst ernstige beveiligingsfout in React Server Components (RSC) om cryptocurrency-miners en een reeks voorheen ongedocumenteerde malwarefamilies te leveren.
Dit omvat een Linux-achterdeur genaamd PeerBlight, een reverse proxy-tunnel genaamd CowTunnel, en een Go-gebaseerd post-exploitatie-implantaat genaamd ZinFoq.
Het cyberbeveiligingsbedrijf zei dat het aanvallers heeft waargenomen die zich op tal van organisaties richtten via CVE-2025-55182, een kritiek beveiligingsprobleem in RSC dat niet-geverifieerde uitvoering van externe code mogelijk maakt. Vanaf 8 december 2025 zijn deze inspanningen gericht op een breed scala aan sectoren, maar vooral op de bouw- en entertainmentsector.
De eerste geregistreerde exploitatiepoging op een Windows-eindpunt door Huntress dateert van 4 december 2025, toen een onbekende bedreigingsacteur een kwetsbaar exemplaar van Next.js exploiteerde om een shellscript te verwijderen, gevolgd door opdrachten om een cryptocurrency-mijnwerker en een Linux-achterdeur te verwijderen.
In twee andere gevallen werd waargenomen dat aanvallers ontdekkingsopdrachten lanceerden en probeerden verschillende payloads te downloaden van een command-and-control (C2)-server. Enkele van de opmerkelijke inbraken zorgden er ook voor dat Linux-hosts de cryptocurrency-miner XMRig lieten vallen, om nog maar te zwijgen van het gebruik van een openbaar beschikbare GitHub-tool om kwetsbare Next.js-instanties te identificeren voordat de aanval begon.
“Gebaseerd op het consistente patroon dat wordt waargenomen op meerdere eindpunten, inclusief identieke kwetsbaarheidsonderzoeken, shell-codetests en C2-infrastructuur, beoordelen we dat de bedreigingsactor waarschijnlijk gebruik maakt van geautomatiseerde exploitatietools”, aldus onderzoekers van Huntress. “Dit wordt verder ondersteund door de pogingen om Linux-specifieke payloads op Windows-eindpunten te implementeren, wat aangeeft dat de automatisering geen onderscheid maakt tussen doelbesturingssystemen.”
Een korte beschrijving van enkele van de ladingen die bij deze aanvallen worden gedownload, is als volgt:
- seks.sheen bash-script dat XMRig 6.24.0 rechtstreeks uit GitHub ophaalt
- PeerBlighteen Linux-backdoor die enige code-overlappingen deelt met twee malwarefamilies RotaJakiro en Pink die in 2021 aan het licht kwamen, installeert een systemd-service om persistentie te garanderen en doet zich voor als een “ksoftirqd” daemon-proces om detectie te omzeilen
- KoeTunneleen reverse proxy die een uitgaande verbinding initieert met door de aanvaller bestuurde Fast Reverse Proxy (FRP)-servers, waardoor effectief firewalls worden omzeild die zijn geconfigureerd om alleen inkomende verbindingen te controleren
- ZinFoqeen binair Linux ELF-bestand dat een post-exploitatieframework implementeert met interactieve shell-, bestandsbewerkingen, netwerkdraai- en tijdstomping-mogelijkheden
- d5.sheen dropper-script dat verantwoordelijk is voor de implementatie van het Sliver C2-framework
- fn22.sheen “d5.sh”-variant met een toegevoegd zelfupdatemechanisme om een nieuwe versie van de malware op te halen en opnieuw te starten
- wocaosinm.sheen variant van de Kaiji DDoS-malware die mogelijkheden voor beheer op afstand, persistentie en ontwijking omvat
PeerBlight ondersteunt mogelijkheden om communicatie tot stand te brengen met een hardgecodeerde C2-server (“185.247.224(.)41:8443”), waardoor deze bestanden kan uploaden/downloaden/verwijderen, een omgekeerde shell kan voortbrengen, bestandsrechten kan wijzigen, willekeurige binaire bestanden kan uitvoeren en zichzelf kan bijwerken. De achterdeur maakt ook gebruik van een domeingeneratie-algoritme (DGA) en een BitTorrent Distributed Hash Table (DHT)-netwerk als fallback C2-mechanismen.
“Bij aansluiting op het DHT-netwerk registreert de achterdeur zichzelf met een knooppunt-ID die begint met het hardgecodeerde voorvoegsel LOLLolLOL”, legden de onderzoekers uit. “Dit voorvoegsel van 9 bytes dient als identificatie voor het botnet, waarbij de resterende 11 bytes van het 20-byte DHT-knooppunt-ID willekeurig worden verdeeld.”
“Wanneer de achterdeur DHT-antwoorden ontvangt die knooppuntlijsten bevatten, scant deze naar andere knooppunten waarvan de ID’s beginnen met LOLLolLOL. Wanneer het een overeenkomend knooppunt vindt, weet het dat dit een andere geïnfecteerde machine is of een door een aanvaller bestuurd knooppunt dat C2-configuratie kan bieden.”
Huntress zei dat het meer dan 60 unieke knooppunten met het LOLLolLOL-voorvoegsel heeft geïdentificeerd, eraan toevoegend dat aan meerdere voorwaarden moet worden voldaan voordat een geïnfecteerde bot zijn C2-configuratie met een ander knooppunt kan delen: een geldige clientversie, configuratiebeschikbaarheid aan de kant van de reagerende bot en de juiste transactie-ID.
Zelfs als aan alle noodzakelijke voorwaarden is voldaan, zijn de bots zo ontworpen dat ze de configuratie slechts ongeveer een derde van de tijd delen op basis van een willekeurige controle, mogelijk in een poging om netwerkruis te verminderen en detectie te voorkomen.
ZinFoq bakens op een vergelijkbare manier naar zijn C2-server en is uitgerust om inkomende instructies te parseren om opdrachten uit te voeren met behulp van “/bin/bash”, mappen op te sommen, bestanden te lezen of te verwijderen, meer payloads te downloaden van een gespecificeerde URL, bestanden en systeeminformatie te exfiltreren, SOCKS5-proxy te starten/stoppen, TCP-poortdoorsturen in/uit te schakelen, bestandstoegangs- en wijzigingstijden te wijzigen en een omgekeerde pseudo-terminal (PTY) shell-verbinding tot stand te brengen.
ZinFoq onderneemt ook stappen om de bash-geschiedenis te wissen en vermomt zichzelf als een van de 44 legitieme Linux-systeemdiensten (bijv. “/sbin/audispd”, “/usr/sbin/ModemManager”, “/usr/libexec/colord,” of “/usr/sbin/cron -f”) om zijn aanwezigheid te verbergen.
Organisaties die vertrouwen op react-server-dom-webpack, react-server-dom-parcel of react-server-dom-turbopack worden geadviseerd om onmiddellijk te updaten, gezien het “potentiële exploitatiegemak en de ernst van de kwetsbaarheid”, aldus Huntress.
De ontwikkeling komt op het moment dat de Shadowserver Foundation zei dat het op 8 december 2025 meer dan 165.000 IP-adressen en 644.000 domeinen met kwetsbare code had gedetecteerd, na ‘verbeteringen in de scantargeting’. Meer dan 99.200 gevallen bevinden zich in de VS, gevolgd door Duitsland (14.100), Frankrijk (6.400) en India (4.500).
