React2Shellの脆弱性

セキュリティ研究者は、React2Shellとして知られる重大な脆弱性が、複数の脅威アクターによってLinuxベースのシステムに侵入するために積極的に悪用されていることを確認しました。この脆弱性は、KSwapDoorやZnDoorをはじめとする複数のマルウェアファミリーの展開に利用され、影響を受けた環境への深部への永続的なアクセスを可能にしています。現在も進行中のこの悪用は、影響の大きいアプリケーションの脆弱性が、公開されるといかに迅速に実用化されるかを浮き彫りにしています。

KSwapDoor: ステルスに特化した Linux バックドア

KSwapDoorは、長期間潜伏状態を維持できるよう綿密に設計されたリモートアクセスツールです。感染したサーバー同士が通信できる内部メッシュネットワークを構築することで、攻撃者は境界防御を回避し、個々のノードがブロックされた場合でも回復力を維持できます。ネットワークトラフィックは強力な暗号化で保護されているため、検査と検出は著しく困難です。最も懸念される機能の一つは、休眠状態、つまり「スリーパー」状態です。この状態では、マルウェアは再活性化を促す秘密のトリガーを受信するまで非アクティブな状態を維持でき、ファイアウォールの制御を効果的に回避します。

研究者らは、KSwapDoorが以前BPFDoorと誤認されていたことを明らかにしました。実際には、KSwapDoorは対話型シェルアクセス、任意のコマンド実行、ファイル操作、そしてラテラルムーブメントの機会を狙うスキャン機能を備えたLinuxバックドアです。さらに、正規のLinuxカーネルスワップデーモンを装うことで、日常的なシステム監視において疑惑を抱かれる可能性を低減しています。

日本の組織を標的としたZnDoorキャンペーン

同時に、日本の組織はReact2Shellを悪用してZnDoorを配信する攻撃の標的となっています。このリモートアクセス型トロイの木馬は、少なくとも2023年12月以降、実世界での活動が確認されています。これらの侵入は通常、wgetを使用して45.76.155.14にあるリモートサーバーからペイロードを取得し、それをローカルで実行するという単純なbashコマンドから始まります。

ZnDoorはインストールされると、攻撃者が管理するインフラストラクチャに接続し、指示を受信してそれに基づいて行動します。その機能は多岐にわたり、侵害されたホストを完全に制御することが可能です。以下にサポートされるコマンドセットを示します。

• 直接コマンド実行と対話型アクセスのための shell と interactive_shell
• ファイルおよびディレクトリ操作用の explorer、explorer_cat、explorer_delete、explorer_upload、explorer_download
• ホスト情報を収集するシステム
• ファイルのタイムスタンプを変更するにはchange_timefileを使用します。
• socket_quick_startstreams は SOCKS5 プロキシを起動します
• ポート転送を管理するための start_in_port_forward と stop_in_port

CVE-2025-55182と複数グループの武器化

この広範な活動は、React2Shellの脆弱性であるCVE-2025-55182（CVSSスコア最大10.0）の広範な悪用と同時期に発生しています。少なくとも5つの中国系脅威グループがこの脆弱性を悪用し、トンネリングツール、ダウンローダー、複数のLinuxバックドアなど、多様なペイロードを拡散していることが確認されています。これらのペイロードには、MINOCAT、SNOWLIGHT、COMPOOD、Cloudflare PagesとGitLabを利用して正規のトラフィックに紛れ込むHISONICの亜種（更新版）、そしてNoodle RATとしても知られるANGRYREBELのLinux版などが含まれています。

エクスプロイト後の悪用とペイロードの多様性

攻撃者は、最初のコード実行権限を獲得した後、通常、任意のコマンドを実行して足場を固めます。これには、既知のCobalt Strikeインフラストラクチャへのリバースシェルの確立、MeshAgentなどのリモート監視・管理ツールの導入、authorized_keysファイルの改ざん、ルートへの直接ログインの有効化などが含まれます。これらの攻撃中に確認された追加のペイロードには、VShell、EtherRAT、ShadowPad、XMRig、そしてSNOWLIGHTの繰り返し展開などがあります。

検知を回避するため、これらのキャンペーンはtrycloudflare.comドメインのCloudflare Tunnelエンドポイントを頻繁に利用し、コマンド＆コントロールトラフィックを正規のサービスに紛れ込ませています。その後、環境のマッピング、ラテラルムーブメントのサポート、そして重要な認証情報の特定を行うために、広範な偵察活動が行われます。

クラウド認証情報の収集と秘密の発見

これらの攻撃の主な目的は、クラウド環境における認証情報の窃取です。脅威アクターは、Azure、AWS、Google Cloud Platform、Tencent Cloudのインスタンスメタデータサービスにクエリを実行し、IDトークンを取得してアクセス範囲を拡大しようとしています。また、TruffleHogやGitleaksなどのシークレットスキャンツールとカスタムスクリプトを併用し、機密情報を抽出します。これには、OpenAI APIキー、Databricksトークン、Kubernetesサービスアカウントシークレット、Azure CLIおよびAzure Developer CLIツールを通じて取得されたアクセストークンなど、AIおよびクラウドネイティブの認証情報の窃取も含まれます。

Next.js の悪用とデータ流出

関連するキャンペーンにおいて、研究者らはCVE-2025-29927とCVE-2025-66478を含む複数のNext.jsの脆弱性を悪用した事例を記録しました。後者は、同じReact2Shellの問題の以前の識別子です。これらの攻撃は、設定ファイル、環境変数、SSHキー、クラウド認証情報、Git認証データ、シェルコマンド履歴、そしてpasswdやshadowなどの機密性の高いシステムファイルを体系的に抽出することに重点を置いていました。このマルウェアはまた、永続性を確立し、SOCKS5プロキシをインストールし、ポート888で67.217.57.240へのリバースシェルを開き、Reactスキャナーを展開してインターネット上で追加の脆弱な標的を検索します。

PCPcat作戦：規模と影響

Operation PCPcatという名称で追跡されているこの複合的な活動は、既に59,128台のサーバーに侵入したと推定されています。アナリストは、このキャンペーンは大規模な情報収集と高度なデータ窃取を示唆していると評価しています。現在の測定結果によると、111,000以上のIPアドレスがReact2Shellの悪用に対して脆弱な状態にあり、最も集中しているのは米国で、次いでドイツ、フランス、インドとなっています。収集されたテレメトリによると、米国、インド、英国、シンガポール、オランダなどの地域で、数百の悪意のあるIPアドレスが24時間以内に悪用行為に積極的に関与していたことが示されています。