FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

本月网络安全领域因全球最流行Web开发框架中的灾难性漏洞曝光而震动。被命名为"React2Shell"的漏洞引发了一场防御者紧急修补系统与各类威胁行为体（从国家资助的间谍组织到伺机而动的加密货币挖矿团伙）竞相武器化的激烈竞赛。

谷歌威胁情报小组（GTIG）最新报告详细披露了漏洞公开后的混乱局面，揭示高级攻击者已深度渗透受害者网络的事实。

高危漏洞技术分析

2025年12月3日，安全社区收到关于React服务器组件（RSC）中高危漏洞（CVE-2025-55182）的警报，该漏洞获得CVSS满分10.0评分。攻击者仅需发送单个恶意构造的HTTP请求，就可在服务器上执行任意代码。

网络犯罪界的反应极为迅速。"漏洞披露后不久，GTIG即观测到从机会型网络犯罪团伙到疑似间谍组织的多类威胁集群正在大规模利用该漏洞"。由于React和Next.js是现代Web的基础组件，其攻击面极为广泛。"GTIG认定CVE-2025-55182属于极高危漏洞"。

四大攻击集群活动

报告中最令人警觉的活动来自与中国有关联的威胁行为体，他们迅速将漏洞利用工具整合进武器库以部署特种恶意软件。GTIG识别出以下四类独立攻击行动：

• 隧道构建者（UNC6600）：该组织部署了名为MINOCAT的复杂隧道工具。攻击者通过创建$HOME/.systemd-utils等隐藏目录，并强制终止合法进程释放资源等手段极力隐藏行踪。

• "合法"C2（UNC6603）：该团伙部署了HISONIC后门的升级版本。为混淆视听，HISONIC"利用Cloudflare Pages和GitLab等合法云服务获取加密配置"。

• 伪装大师（UNC6595）：通过部署名为ANGRYREBEL.LINUX的恶意软件，该组织"将恶意程序伪装为/etc/目录下的合法OpenSSH守护进程（sshd）"，并采用时间戳伪造等反取证技术逃避检测。

• Vim冒名者（UNC6588）：在另一波攻击中，攻击者利用漏洞下载COMPOOD后门，该程序伪装成流行的文本编辑器Vim以降低怀疑。

复合型威胁蔓延

"GTIG已确认有攻击行动利用该漏洞部署MINOCAT隧道工具、SNOWLIGHT下载器、HISONIC后门、COMPOOD后门以及XMRIG加密货币挖矿程序，部分活动与Huntress此前报告存在关联"。

除间谍活动外，自12月5日起经济利益驱动的犯罪团伙也开始加入，部署XMRig挖矿程序劫持服务器资源进行加密货币挖矿。混乱局势因大量虚假漏洞利用信息进一步恶化——漏洞披露初期，互联网上涌现大量伪造的漏洞利用程序。某知名代码仓库"最初声称提供真实可用的漏洞利用程序，现已更新README文件，声明其初始研究结论实为AI生成且不可用"。

安全专家强烈建议企业立即实施补丁，不仅要修复主要的远程代码执行漏洞，还需防范后续发现的多个衍生漏洞。

参考来源：

React2Shell: Max-Score RCE (CVSS 10.0) Triggers Widespread Exploitation by Espionage Groups & Miners

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）