La vulnerabilità React2Shell, identificata come CVE-2025-55182, rappresenta una delle minacce informatiche più attive e pericolose del momento. Questa falla, con un punteggio di gravità CVSS di 10, consente ai cyber criminali di eseguire codice remoto su server Linux, facilitando l’installazione di backdoor come KSwapDoor e ZnDoor. KSwapDoor si distingue per le sue capacità di evasione: costruisce una rete interna fra server compromessi, impiega crittografia di livello militare per nascondere le comunicazioni e include una modalità "sleeper" che permette di superare i firewall attivando il malware tramite segnali segreti.
Attività e metodologie di attacco
Secondo le ricerche di Palo Alto Networks Unit 42 e NTT Security, KSwapDoor era stato inizialmente confuso con il malware BPFDoor, ma si è scoperto che la sua sofisticazione include shell interattiva, esecuzione di comandi, gestione file e movimenti laterali nella rete, il tutto mascherandosi come un processo legittimo del kernel Linux.
In Giappone, invece, sono stati registrati attacchi che sfruttano React2Shell per distribuire ZnDoor, un trojan di accesso remoto che riceve comandi dai server degli attaccanti per eseguire operazioni come shell interattive, gestione file, creazione di proxy SOCKS5 e attività di port forwarding.
Gruppi APT e strumenti utilizzati
Il panorama degli attacchi si è ampliato: Google ha identificato almeno cinque gruppi APT legati alla Cina che sfruttano React2Shell per distribuire vari payload, tra cui backdoor, downloader e tunnel di rete. Tra le tecniche usate si annoverano reverse shell, installazione di strumenti di monitoraggio remoto come MeshAgent, modifiche ai file di autorizzazione e abilitazione dell’accesso root.
Microsoft ha osservato che, attraverso questa vulnerabilità, sono stati eseguiti comandi per il furto di credenziali cloud, targeting specifico di servizi come Azure, AWS, GCP e Tencent Cloud. Gli attaccanti utilizzano anche strumenti come TruffleHog e Gitleaks per scovare segreti e credenziali, puntando anche a token API di intelligenza artificiale e credenziali di Kubernetes.
Diffusione e impatto globale
La campagna denominata Operation PCPcat ha già compromesso oltre 59000 server, mostrando caratteristiche di esfiltrazione dati su scala industriale. Secondo le statistiche, oltre 111000 indirizzi IP sono attualmente vulnerabili a React2Shell, con la maggioranza localizzata negli Stati Uniti, seguiti da Germania, Francia e India. Gli attacchi sono spesso mascherati tramite servizi come Cloudflare Tunnel per eludere i sistemi di sicurezza e includono attività di ricognizione e movimento laterale per massimizzare l’impatto.