Исследовательская группа WXA Internet Abuse Signal Collective (WXA IASC) представила первый отчёт в серии To Cache A Predator, посвящённый отслеживанию инфраструктуры и тактик киберпреступников. Фокусом исследования стала эксплуатация уязвимости CVE-2025-55182, известной как React2Shell, в фреймворке Next.js. Анализ данных глобальной телеметрии и наблюдений с honeypot-ловушек выявил скоординированную кампанию с высокой степенью централизации.
Описание
Эксплуатация уязвимости началась стремительно. Первые попытки атак на датчики honeypot-сети Niihama были зафиксированы всего через 20 часов после публичного раскрытия данных об уязвимости 4 декабря 2025 года. Ранние атаки исходили, в частности, с болгарского IP-адреса 85.11.167[.]3 и следовали шаблону эксплуатации React Server Actions. Активность не ограничилась первоначальной волной. В период с 5 января по 6 февраля 2026 года ловушки Niihama зарегистрировали 894 HTTP-запроса, связанных с React2Shell, с 43 уникальных сканирующих IP-адресов. Большинство запросов было направлено на пути "/_next/static/*", что указывает на попытки сбора конфиденциальных данных из фронтенд-артефактов.
Ядро кампании образуют два узла, размещённых в Нидерландах: 193.142.147[.]209 и 87.121.84[.]24. Анализ NetFlow-данных с 1 ноября 2025 по 3 февраля 2026 года показал колоссальный масштаб их активности: более 22 миллионов записей, вовлекающих почти 3 миллиона уникальных исходных IP-адресов и около 14,8 миллиона адресов назначения. Независимая платформа GreyNoise подтвердила, что на эти два адреса пришлось 56% всего трафика эксплуатации React2Shell, наблюдавшегося их датчиками в конце января 2026 года.
Поведение этих узлов различается. Узел 193.142.147[.]209 демонстрирует активность, характерную для ботнетов вроде Mirai, сканируя порты HTTP, HTTPS и Telnet в поисках уязвимостей в IoT-устройствах и веб-интерфейсах. В свою очередь, 87.121.84[.]24 является частью ранее не документированного инструментария ILOVEPOOP. Этот согласованный набор инструментов, работающий на девяти сканирующих узлах, ответственен за 672 из 894 зафиксированных попыток эксплуатации React2Shell. Все запросы этого набора имеют идентичные заголовки, включая "X-Nextjs-Request-Id: poop1234" и "X-Nextjs-Html-Request-Id: ilovepoop_*", а также используют общий пул из 11 подменённых User-Agent.
Особый интерес представляет попытка эксплуатации, зафиксированная honeypot-ловушкой Niihama. Один из узлов ILOVEPOOP, 195.3.222[.]78, отправил полезную нагрузку (payload) React2Shell, предназначенную для триггеринга десериализации в React Server Components, на POP3-сервер. Это указывает либо на использование протоколо-независимого движка эксплуатации, либо на стратегию "распыления" атак для обхода систем глубокой проверки пакетов.
Географический анализ трафика, связанного с нидерландскими серверами, показывает глобальный охват кампании. Наибольшее давление сканирования испытывают активы в США, Китае, Западной Европе и Восточной Азии. Для оценки рисков в США данные NetFlow были обогащены с помощью партнёра Attaxion. Оказалось, что большая часть взаимодействий исходит от коммерческих и корпоративных организаций, а также от провайдеров интернет-инфраструктуры.
Наблюдения с honeypot-ловушек подтверждают враждебные намерения источников, связанных с этой кампанией. В период с 27 декабря 2025 по 4 февраля 2026 года 669 IP-адресов, которые также наблюдались в NetFlow-трафике к эксплойт-серверам, осуществляли атаки на ловушки Niihama. Эти атаки включали сканирование SMB, RDP, SSH, а также попытки подбора учётных данных. Важно, что NetFlow-телеметрия в 91 случае зафиксировала эти IP-адреса в среднем за 45 дней до их первой прямой атаки на honeypot, демонстрируя ценность такого анализа для раннего предупреждения.
Исследование подчёркивает, что представленные данные свидетельствуют о враждебной активности и использовании инфраструктуры, но не являются доказательством успешного компрометирования конкретных организаций. Кампания продолжает развиваться, а централизованная инфраструктура в Нидерландах остаётся ключевым элементом для отслеживания связанной активности.
Индикаторы компрометации
IPv4
- 1.9.126.241
- 103.147.173.250
- 136.0.188.55
- 142.111.93.233
- 146.19.24.133
- 148.227.3.232
- 161.97.166.188
- 167.86.125.252
- 179.191.39.221
- 193.142.147.209
- 195.178.110.223
- 195.178.110.25
- 195.3.222.218
- 195.3.222.78
- 197.167.196.178
- 2.58.56.147
- 207.180.209.181
- 210.86.225.196
- 213.74.71.56
- 37.19.197.145
- 38.242.211.249
- 74.136.201.211
- 77.46.170.18
- 82.23.183.131
- 82.23.183.144
- 85.11.167.3
- 87.121.84.24
- 95.214.55.246
IPv4 Port Combinations
- 168.119.228.133:80
- 170.64.236.219:80
- 5.223.74.251:80