تشهد الساحة السيبرانية تصعيداً لافتاً بعد تأكيد باحثين من Palo Alto Networks Unit 42 وNTT Security أن ثغرة React2Shell تُستغل بشكل واسع لنشر عائلات متعددة من البرمجيات الخبيثة، أبرزها KSwapDoor وZnDoor، في هجمات تستهدف خوادم لينكس على نطاق عالمي. وتأتي هذه التطورات بينما تُصنّف الثغرة تحت الرمز CVE‑2025‑55182 بدرجة خطورة قصوى.
KSwapDoor… باب خلفي متطور بقدرات تخفٍّ عالية
وفقاً للباحثين، يُعد KSwapDoor أداة وصول عن بُعد مصممة باحترافية عالية، تعتمد على شبكة داخلية بين الأجهزة المصابة لتجاوز أنظمة الحماية، وتستخدم تشفيراً متقدماً لإخفاء الاتصالات. كما تمتلك وضعية “النوم” التي تسمح للمهاجمين بتنشيط البرمجية عبر إشارة سرية غير مرئية، ما يجعل اكتشافها أمراً بالغ الصعوبة. وتتنكر البرمجية كعملية نظام شرعية في لينكس، وتوفر قدرات تنفيذ أوامر، وإدارة ملفات، وتحركات جانبية داخل الشبكة.
ZnDoor يستهدف المؤسسات اليابانية عبر سلاسل هجوم بسيطة
وفي سياق متصل، رصدت NTT Security هجمات تستهدف منظمات في اليابان عبر استغلال React2Shell لتنزيل ZnDoor من خادم خارجي باستخدام أوامر bash بسيطة تعتمد على wget. ويعمل ZnDoor كحصان طروادة للوصول عن بُعد، ويتصل ببنية تحتية خبيثة لتلقي أوامر تشمل تشغيل شِل تفاعلي، استعراض الملفات، حذفها، رفعها، تنزيلها، جمع معلومات النظام، وتفعيل بروكسي SOCKS5 أو إعادة توجيه المنافذ.
مجموعات تهديد صينية تستغل الثغرة لنشر أدوات تجسس متقدمة
أشارت جوجل إلى أن خمس مجموعات تهديد مرتبطة بالصين استغلت الثغرة لنشر أدوات متنوعة، من بينها MINOCAT وSNOWLIGHT وCOMPOOD وHISONIC وANGRYREBEL. وتؤكد مايكروسوفت أن المهاجمين استخدموا الثغرة لتنفيذ أوامر عشوائية، وإنشاء قنوات اتصال عكسية، وتثبيت أدوات إدارة عن بُعد مثل MeshAgent، وتعديل مفاتيح الوصول، وتفعيل تسجيل الدخول بصلاحيات الجذر.
كما شملت الهجمات نشر برمجيات مثل VShell وEtherRAT وShadowPad وXMRig، إضافة إلى استخدام نطاقات Cloudflare Tunnel لإخفاء حركة المرور، وتنفيذ استطلاع داخلي لسرقة بيانات الاعتماد.
سرقة بيانات اعتماد السحابة والذكاء الاصطناعي
تكشف مايكروسوفت أن المهاجمين استهدفوا خدمات IMDS في Azure وAWS وGCP وTencent للحصول على رموز هوية تتيح لهم التعمق داخل البنى السحابية. كما استخدموا أدوات مثل TruffleHog وGitleaks لاستخراج أسرار حساسة، بما في ذلك مفاتيح OpenAI وبيانات اعتماد Databricks وKubernetes.
حملات إضافية تستهدف Next.js وتسرق ملفات حساسة
وفي حملة أخرى، استغل مهاجمون ثغرات في Next.js لسرقة ملفات بيئة التشغيل، مفاتيح SSH، بيانات AWS وDocker، بيانات Git، وسجلات الأوامر، إضافة إلى ملفات النظام الحساسة. كما أنشأوا آليات بقاء بعد إعادة التشغيل، وأقاموا بروكسي SOCKS5، وفتحوا قناة عكسية إلى خادم خارجي، ونشروا ماسح React لمواصلة الانتشار.
وتشير التقديرات إلى أن حملة “Operation PCPcat” اخترقت أكثر من 59 ألف خادم حتى الآن.
أرقام مقلقة حول حجم الاستغلال
تتبع مؤسسة Shadowserver أكثر من 111 ألف عنوان IP معرض لهجمات React2Shell، بينها 77 ألفاً في الولايات المتحدة وحدها. كما رصدت GreyNoise أكثر من 500 عنوان IP خبيث يشارك في الهجمات خلال 24 ساعة فقط.
