中國駭客Shadow-Earth-053傳利用React2Shell滲透Linux主機
攻擊手法與技術背景
趨勢科技揭露,中國駭客組織Shadow-Earth-053透過已知漏洞(如ProxyLogon)入侵Microsoft Exchange與IIS伺服器,作為初始入侵管道,並進一步偵察Active Directory環境,最終在Windows電腦上植入惡意程式ShadowPad,攻擊範圍涵蓋臺灣等亞洲國家,且有北約國家遭鎖定。
此外,搜尋結果顯示,該組織亦被指利用React2Shell(CVE-2025-55182)漏洞,針對Linux伺服器進行攻擊。React2Shell是一種針對React Server Components(RSC)的遠端程式碼執行(RCE)漏洞,攻擊者無需身份驗證即可發送單一HTTP請求即執行惡意指令,技術風險極高。
相關攻擊活動與擴張
- 趨勢科技在報告中指出,發現Linux系統上出現NOODLERAT樣本,並歸因於透過CVE-2025-55182(React2Shell)漏洞被部署。
- 其他資安機構如Huntress亦發現,React2Shell漏洞不僅被國家級駭客用於滲透,還被用於挖礦與DDoS攻擊,顯示其威脅範圍廣泛。
- 自漏洞公開以來,已記錄超過81萬次攻擊,AWS雲端平臺成為主要攻擊跳板之一。