Новый Ethereum-имплант EtherRAT использует React2Shell для массового сбора данных и самораспространения

8 декабря команда Sysdig Threat Research Team (TRT) сообщила о развертывании нового импланта на основе Ethereum в атаках, эксплуатирующих уязвимость React2Shell. Исследователи связывают эту активность с возможной северокорейской группировкой. В отличие от ранних атак React2Shell, целью которых был майнинг криптовалюты, EtherRAT представляет собой полноценный инструмент для удаленного доступа. Он маскирует командно-аналитический (C2) трафик под активность в блокчейне и агрессивно собирает учетные данные. Поскольку полезная нагрузка (payload) выполняется средой Node.js, она никогда не записывается на диск, что является классическим примером файловой вредоносной программы.

После первоначального отчета исследователям удалось извлечь живые модули с инфраструктуры злоумышленника. Анализ пяти модулей раскрыл полный спектр возможностей импланта после компрометации системы. К ним относятся сбор системной информации, хищение учетных данных, функция самораспространяющегося червя, перехват веб-трафика и установка SSH-бэкдора. При этом блокчейн-механизм управления, обеспечивающий устойчивость инфраструктуры, одновременно создает неизменяемый след для защитников. Каждое изменение конфигурации навсегда записывается в Ethereum.

Уязвимость, обозначенная как CVE-2025-55182, является критической уязвимостью удаленного выполнения кода в React Server Components. EtherRAT был обнаружен в скомпрометированном приложении Next.js всего через два дня после публикации данных об уязвимости. Ключевой особенностью импланта является его блокчейн-инфраструктура. Вместо жестко заданных адресов он запрашивает актуальный URL-адрес C2 у смарт-контракта в сети Ethereum. Для предотвращения атак на механизм запросов имплант опрашивает девять публичных узлов и выбирает ответ, поддержанный большинством.

Имплант использует пять механизмов обеспечения устойчивости в системе, включая сервисы systemd, автозапуск через XDG, задания cron и модификацию файлов bashrc и profile. Он способен к самообновлению, отправляя свой исходный код на сервер при первом подключении. Кроме того, для маскировки он легитимно загружает среду выполнения Node.js с официального сайта. Такие серверные импланты для Node.js пока остаются редким явлением, но, как отмечали эксперты Microsoft Defender, они быстро становятся частью развивающегося ландшафта угроз.

Блокчейн-механизм обеспечивает злоумышленнику устойчивое управление, но одновременно формирует бесследный судебный след для исследователей. Каждое обновление URL-адреса C2 навсегда записывается в Ethereum с временными метками и адресами кошельков. Анализ этой истории показал, что контракт был развернут 5 декабря 2025 года, всего через несколько часов после того, как CISA добавила CVE-2025-55182 в свой каталог активно эксплуатируемых уязвимостей. Финансирование кошелька злоумышленника и последующая настройка инфраструктуры произошли в течение нескольких минут, что указывает на высокую готовность к эксплуатации.

В течение трех дней в контракте было зафиксировано девять изменений состояния, что свидетельствует об использовании как минимум двух серверов для управления. Наиболее показательным эпизодом стала временная подмена адреса C2 на ссылку сервиса Grabify, который логирует IP-адреса посетителей. Эта манипуляция длилась около 11 минут, что позволило злоумышленнику перечислить активные заражения. Использование блокчейна создает серьезные операционные риски для атакующего. Все обновления происходят с одного кошелька, который навсегда ассоциируется с EtherRAT, а неизменяемость реестра не позволяет скрыть следы, включая использование сторонних сервисов вроде Grabify.

Первый анализируемый модуль выполняет рекогносцировку системы. Самой значимой находкой стала проверка локали, которая заставляет вредоносную программу самоуничтожаться на системах, настроенных на языки стран СНГ. Этот паттерн хорошо задокументирован в отчетах о киберпреступности из Восточной Европы, где местные группировки избегают атак на страны СНГ, чтобы минимизировать юридические риски. Присутствие этого исключения противоречит первоначальной атрибуции угрозы Северной Корее, чьи группировки обычно не используют такие фильтры. Это может указывать на актора из региона СНГ, использующего общие инструменты, или на попытку ввести исследователей в заблуждение.

Модуль собирает обширную информацию об инфицированном хосте, включая данные об оборудовании, сети, окружении и установленных продуктах безопасности. Проверка членства в домене Active Directory и привилегий администратора позволяет операторам идентифицировать высокоценные корпоративные системы. Перечисление графических процессоров также намекает на оценку потенциала для майнинга криптовалюты. Собранные данные эксфильтруются на сервер управления с использованием агрессивной логики повторных попыток.

Второй модуль представляет собой сборщик учетных данных, основной целью которого является хищение криптовалюты и другой конфиденциальной информации. Он содержит полный список из 2048 слов стандарта BIP39, используемых для генерации сид-фраз криптокошельков. Модуль использует сложные методы поиска, включая скользящее окно для обнаружения последовательностей из 12-24 корректных слов. Кроме того, он выполняет валидацию приватных ключей Ethereum, проверяя их соответствие кривой secp256k1, что указывает на глубокие знания в области криптографии.

Сборщик также ищет более 50 типов учетных данных, включая ключи облачных провайдеров, токены API, строки подключения к базам данных и SSH-ключи. Он целенаправленно сканирует стандартные директории хранения криптокошельков и данных браузерных расширений. Исчерпывающий поиск по домашним директориям и серверным путям показывает, что цель атакующего выходит за рамки простого сбора данных.

Третий модуль превращает EtherRAT в самораспространяющегося червя, который сканирует интернет в поисках уязвимых серверов Next.js. Используя 500 одновременных соединений, один зараженный хост может проверить тысячи комбинаций IP-адресов и портов в минуту. Примечательно, что сканирование включает приватные диапазоны IP-адресов, что позволяет червю распространяться внутри корпоративных сетей после первоначального проникновения.

Эксплойт уязвимости CVE-2025-55182, содержащийся в модуле, использует загрязнение прототипа и внутренний механизм Server Actions в Next.js для выполнения произвольного кода. Этот эксплойт впервые задокументирован в активной вредоносной программе. Для распространения используется отдельный сервер, с которого на скомпрометированные хосты загружается скрипт для дальнейшего заражения. Успешные компрометации логируются локально, что позволяет операторам оценивать эффективность распространения.

Четвертый модуль занимается перехватом веб-трафика, изменяя конфигурации серверов nginx и Apache. Все посетители скомпрометированных сайтов перенаправляются на домен xss.pro, который является одним из крупнейших русскоязычных форумов киберпреступности. Такая тактика представляет собой простой способ монетизации взломанной инфраструктуры за счет генерации трафика на партнерскую платформу. Перед внесением изменений модуль пытается повысить привилегии, а собранные данные об успешных изменениях отправляются на анонимный сервис webhook.site.

Пятый и самый простой модуль обеспечивает персистентность (persistence) через SSH, добавляя публичный ключ атакующего в файл authorized_keys на целевом хосте. Реализация является неразрушающей и добавляет ключ к существующим, чтобы не нарушить легитимный доступ администраторов. Наличие этого ключа в системе является четким индикатором компрометации.

Атрибуция угрозы EtherRAT остается сложной задачей. Первоначальная оценка указывала на возможную связь с северокорейскими группировками. Однако присутствие исключения для стран СНГ, использование русскоязычного форума для перенаправления трафика и другие техники, более характерные для русскоязычных акторов, противоречат этой версии. Совокупность доказательств может указывать либо на оператора из региона СНГ, либо на использование общих инструментов, либо на преднамеренные ложные флаги.

Вне зависимости от атрибуции, ясно, что эксплуатация уязвимости React2Shell активно используется различными угрозыми акторами. Организации, использующие уязвимые версии Next.js, сталкиваются с многофункциональной угрозой, способной к сбору конфиденциальных данных, самораспространению и обеспечению устойчивого доступа к инфраструктуре.

IPv4 Port Combinations

• 173.249.8.102:80
• 193.24.123.68:3001
• 91.215.85.42:3000

URLs

• http://193.24.123.68:3001/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh
• http://91.215.85.42:3000/{hwid}
• http://91.215.85.42:3000/crypto/keys
• https://grabify.link/SEFKGU
• https://webhook.site/63575795-ee27-4b29-a15d-e977e7dc8361

Ethereum infrastructure

• Smart contract 0x22f96d61cf118efabc7c5bf3384734fad2f6ead4
• Deployer wallet 0xe941a9b283006f5163ee6b01c1f23aa5951c4c8d
• Funding wallet 0x14afddd627fb0e039365554f8bbdb881ecb1c708

SSH backdoor key

• Fingerprint: SHA256:1RquAvdtW48Ken6IVUZi/o4liu1SXlvezhgjb2fnvBg
• Comment: root@vps
• ssh-rsa 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 root@vps