Угрозы в киберпространстве развиваются с невероятной скоростью. Недавний пример - критическая уязвимость CVE-2025-55182, также известная как React2Shell. Её публичное раскрытие 3 декабря 2025 года немедленно привлекло внимание государственных хакерских группировок, связанных с Китаем. Уже в первые часы после анонса команды угрозового анализа Amazon зафиксировали активные попытки эксплуатации. В число атакующих вошли такие известные группировки, как Earth Lamia и Jackpot Panda. Этот инцидент наглядно демонстрирует, как быстро продвинутые угрозы (APT, Advanced Persistent Threat) внедряют в свой арсенал свежие уязвимости.
Описание
Характеристика уязвимости и масштаб угрозы
Уязвимость CVE-2025-55182 была обнаружена исследователем Лакланом Дэвидсоном и раскрыта команде React 29 ноября. Она представляет собой проблему небезопасной десериализации в React Server Components. Её максимальная оценка по шкале CVSS составляет 10.0, что указывает на критический уровень опасности. Атака возможна через удалённое выполнение кода без аутентификации. Под угрозой находятся приложения на React версий 19.x и Next.js версий 15.x и 16.x, использующие App Router. Важно отметить, что приложения уязвимы, даже если они не используют серверные функции в явном виде, но поддерживают React Server Components.
Координация раскрытия между Vercel, Meta и крупными облачными провайдерами, включая AWS, позволила заранее подготовить исправления. Однако это не остановило злоумышленников. Мониторинг инфраструктуры AWS MadPot, представляющей собой систему "медовых горшков" (honeypot), выявил активность как известных группировок, так и ранее не отслеживаемых кластеров. Китай остаётся самым активным источником кибератак, поддерживаемых государством. Местные угрозы регулярно начинают эксплуатацию публичных эксплойтов в течение нескольких часов или дней после их раскрытия.
Профили атакующих и методы работы
Анализ инфраструктуры, использованной для атак, позволил связать её с известными акторами. Earth Lamia известна эксплуатацией уязвимостей веб-приложений для атак на организации в Латинской Америке, на Ближнем Востоке и в Юго-Восточной Азии. Их цели включают финансовый сектор, логистику, розничную торговлю, IT-компании, университеты и государственные структуры. Jackpot Panda в основном фокусируется на объектах в Восточной и Юго-Восточной Азии, что, вероятно, связано с задачами по сбору разведданных.
Однако точная атрибуция осложняется использованием крупномасштабных сетей анонимизации. Они стали отличительной чертой китайских киберопераций, позволяя скрывать источник разведки, эксплуатации и управления. Эти сети используются одновременно несколькими группировками, что затрудняет определение конкретного исполнителя. Большинство автономных систем (ASN, Autonomous System Number), связанных с неатрибутированной активностью, также принадлежат китайской инфраструктуре, что подтверждает региональное происхождение основной массы атак.
Злоумышленники применяют как автоматизированные сканеры, так и индивидуальные эксплойты. Некоторые инструменты используют рандомизацию пользовательского агента (user agent), чтобы избежать обнаружения. Группировки не ограничиваются одной уязвимостью. Команды Amazon наблюдали их одновременные попытки эксплуатации других недавних "N-day" уязвимостей, включая CVE-2025-1338. Это демонстрирует системный подход: постоянный мониторинг новых уязвимостей, быстрое внедрение публичных эксплойтов в сканирующую инфраструктуру и широкие кампании по множеству CVE для максимизации успеха.
Проблема публичных эксплойтов и тактика атак
Любопытным аспектом расследования стало то, что многие злоумышленники пытались использовать публичные доказательства концепции (PoC, Proof-of-Concept), которые не работают в реальных условиях. Сообщество безопасности на GitHub выявило множество PoC с фундаментальными ошибками в понимании уязвимости. Например, некоторые демонстрационные приложения явно регистрируют опасные модули в server manifest, чего никогда не должно происходить в реальных продуктах. Несмотря на техническую несостоятельность, угрозы всё равно пытаются их применить.
Это раскрывает несколько важных паттернов. Во-первых, скорость для них важнее точности: они предпочитают быстро запустить в дело любой доступный инструмент, а не тщательно его тестировать. Во-вторых, они используют объёмный подход: массовое сканирование с помощью множества PoC, даже нерабочих, повышает шансы найти редкие уязвимые конфигурации. В-третьих, низкий порог входа позволяет участвовать в кампаниях менее искушённым акторам. Наконец, неудачные попытки создают значительный "шум" в логах, потенциально маскируя более изощрённые атаки.
Анализ данных MadPot показывает настойчивость атакующих. Один неатрибутированный кластер с IP-адреса 183[.]6.80.214 потратил почти час на систематическое тестирование методов эксплуатации. За 52 минуты было отправлено 116 запросов. Злоумышленник пробовал различные полезные нагрузки (payload), выполнял Linux-команды, пытался записать файл и прочитать системные данные. Такое поведение указывает не на простой автоматический сканинг, а на активную отладку и адаптацию техник под живые цели.
Индикаторы компрометации
IPv4
- 143.198.92.82
- 183.6.80.214
- 206.237.3.150
- 45.77.33.136
