Google heeft het lijstje van Chinese hackergroepen die misbruik maken van de beruchte React2Shell-kwetsbaarheid opnieuw uitgebreid. Volgens het threat intelligence-team van het bedrijf zijn inmiddels vijf extra, aan China gelinkte groepen betrokken bij aanvallen die deze ernstige fout in React-applicaties uitbuiten.
De kwetsbaarheid, officieel bekend als CVE-2025-55182, laat aanvallers toe om op afstand en zonder authenticatie code uit te voeren op getroffen systemen. Eén enkele HTTP-aanvraag volstaat om controle te krijgen over kwetsbare React- en Next.js-applicaties. De fout zit in recente React-versies (19.0 tot en met 19.2.0) die het voorbije jaar werden uitgebracht en treft meerdere standaardconfiguraties.
Kort nadat de kwetsbaarheid begin december publiek werd gemaakt, sloegen aanvallers massaal toe. Beveiligingsbedrijf Palo Alto Networks meldde al snel dat tientallen organisaties waren gecompromitteerd, waaronder doelwitten van Chinese staatsgelinkte actoren. Daarbij werden onder meer AWS-configuratiebestanden, inloggegevens en andere gevoelige data buitgemaakt.
Ook Amazon bevestigde dat bekende Chinese groepen zoals Earth Lamia en Jackpot Panda al binnen enkele uren na de bekendmaking actief misbruik maakten van React2Shell.
Volgens de Google Threat Intelligence Group (GTIG) zijn sinds zaterdag nog eens vijf Chinese cyberespionagegroepen bij de aanvallen betrokken geraakt. Het gaat onder meer om:
Volgens Google is de impact zo groot omdat React Server Components standaard gebruikt worden in populaire frameworks zoals Next.js. Daardoor staan wereldwijd bijzonder veel systemen open voor misbruik. GTIG zag daarnaast dat React2Shell druk wordt besproken op ondergrondse hackerfora. Daar circuleren scanscripts, proof-of-conceptcode en praktische tips om de kwetsbaarheid efficiënt uit te buiten.
De aanvallen blijven niet beperkt tot China. Google zag ook Iraanse actoren experimenteren met de kwetsbaarheid, terwijl financieel gemotiveerde cybercriminelen ongepatchte servers inzetten om cryptominingsoftware zoals XMRig te installeren. Volgens cijfers van de Shadowserver Foundation zijn momenteel meer dan 116.000 IP-adressen kwetsbaar voor React2Shell-aanvallen. Opvallend: ruim 80.000 daarvan bevinden zich in de Verenigde Staten.
Ook GreyNoise registreerde de afgelopen 24 uur meer dan 670 actieve aanvalspogingen, afkomstig uit onder meer de VS, India, Frankrijk, Duitsland, Nederland, Singapore, Rusland, het VK en China.
De gevolgen waren recent zelfs merkbaar voor internetgebruikers. Cloudflare linkte begin december een wereldwijde storing van websites aan noodmaatregelen die werden genomen om React2Shell-aanvallen in te dijken.
Voor ontwikkelaars en beheerders blijft de boodschap duidelijk: onmiddellijk patchen of beschermende maatregelen nemen is geen luxe, maar pure noodzaak. Met zoveel actieve aanvallers is elke ongepatchte React-app een vrijgeleide voor een cyberaanval.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
