Nguyễn Tiến Đạt
Intern Writer
Sự leo thang của chiến dịch khai thác React2Shell
Theo báo cáo mới nhất từ Huntress, lỗ hổng React2Shell trong React Server Components (RSC) tiếp tục bị khai thác mạnh mẽ, khi các tác nhân đe dọa tận dụng CVE-2025-55182, một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực. Tính đến ngày 8/12/2025, các cuộc tấn công đã nhắm vào nhiều lĩnh vực, trong đó nổi bật là xây dựng và giải trí.
Chiến dịch ghi nhận lần đầu trên máy chủ Windows vào ngày 4/12/2025, khi tin tặc khai thác lỗ hổng trong Next.js để cài đặt tập lệnh shell, sau đó triển khai công cụ đào tiền điện tử và một backdoor dành cho Linux. Những trường hợp khác cho thấy kẻ tấn công thực hiện dò quét, tải xuống nhiều dạng mã độc từ máy chủ điều khiển (C2) và cài đặt XMRig trên các máy chủ Linux. Một công cụ công khai trên GitHub cũng bị lợi dụng để rà soát các phiên bản Next.js dễ bị tấn công.
Huntress nhận định rằng mô hình tấn công nhất quán trên nhiều điểm cuối – từ hoạt động dò lỗ hổng, kiểm thử mã shell, cho đến hạ tầng C2 tương đồng – cho thấy tin tặc đang sử dụng công cụ khai thác tự động. Điều này thể hiện rõ khi một số mã độc Linux bị cài nhầm lên hệ thống Windows, cho thấy quy trình tự động hóa không phân biệt nền tảng.
Các mã độc xuất hiện trong chiến dịch React2Shell
Nhiều loại mã độc mới đã được ghi nhận trong chiến dịch này, bao gồm:- sex.sh: tập lệnh bash dùng để tải trực tiếp XMRig 6.24.0.
- PeerBlight: backdoor Linux có đoạn mã trùng lặp với RotaJakiro và Pink (2021), cài đặt dịch vụ systemd để duy trì tồn tại và ngụy trang thành tiến trình “ksoftirqd”. Mã độc này kết nối đến máy chủ C2 cố định 185.247.224[.]41:8443, hỗ trợ tải lên/tải xuống/xóa tệp, tạo shell đảo ngược, thay đổi quyền tệp, chạy nhị phân tùy ý và tự cập nhật. PeerBlight còn sử dụng thuật toán tạo tên miền (DGA) và mạng DHT của BitTorrent làm kênh C2 dự phòng. ID nút trong DHT được đánh dấu bằng tiền tố cố định LOLlolLOL, giúp nhận diện các bot hoặc nút điều khiển khác. Huntress đã phát hiện hơn 60 nút sử dụng tiền tố này.
- CowTunnel: máy chủ proxy ngược tạo kết nối đi ra đến hệ thống FRP do kẻ tấn công kiểm soát, cho phép vượt qua tường lửa chỉ giám sát kết nối đến.
- ZinFoq: nhị phân ELF cung cấp khung hậu xâm nhập với chức năng thực thi lệnh qua “/bin/bash”, quản lý tệp, thu thập thông tin hệ thống, tải xuống payload bổ sung, kích hoạt/dừng proxy SOCKS5, bật/tắt chuyển tiếp cổng TCP, thay đổi thời gian truy cập tệp và tạo kết nối shell PTY đảo ngược. ZinFoq xóa lịch sử bash và ngụy trang thành một trong 44 dịch vụ Linux hợp pháp để khó bị phát hiện.
- d5.sh: tập lệnh thả dùng triển khai khung Sliver C2.
- fn22.sh: biến thể của d5.sh có khả năng tự cập nhật và khởi động lại.
- wocaosinm.sh: biến thể của mã độc DDoS Kaiji, tích hợp thêm khả năng quản trị từ xa, duy trì hoạt động và né tránh phát hiện.
Song song với đó, Shadowserver Foundation ghi nhận hơn 165.000 địa chỉ IP và 644.000 tên miền chứa mã độc tính đến ngày 8/12/2025, trong đó Mỹ dẫn đầu với hơn 99.200 trường hợp, tiếp theo là Đức, Pháp và Ấn Độ.
Huntress khuyến cáo các tổ chức đang sử dụng react-server-dom-webpack, react-server-dom-parcel hoặc react-server-dom-turbopack nên cập nhật ngay lập tức do mức độ nghiêm trọng và khả năng khai thác dễ dàng của lỗ hổng.(thehackernews)
React2Shell Exploitation Delivers Crypto Miners and New Malware Across Multiple Sectors
Critical React Server Components flaw (CVE-2025-55182) fuels automated attacks dropping miners and multiple new Linux malware families.
thehackernews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview