Ένα νέο, εξαιρετικά εξελιγμένο στέλεχος κακόβουλου λογισμικού που στοχεύει ευάλωτα στοιχεία διακομιστή React, σηματοδοτώντας μια σημαντική εξέλιξη στον τρόπο με τον οποίο οι φορείς απειλών που χρηματοδοτούνται από το κράτος εκμεταλλεύονται την κρίσιμη ευπάθεια του React2Shell που αποκαλύφθηκε λίγες μέρες νωρίτερα.
Στις 5 Δεκεμβρίου 2025, μόλις δύο ημέρες μετά την αποκάλυψη της ευπάθειας μέγιστης σοβαρότητας CVE-2025-55182 (με το όνομα «React2Shell»), η ερευνητική ομάδα απειλών του Sysdig (TRT) ανακάλυψε ένα εξελιγμένο νέο εμφύτευμα που ονομάζεται EtherRAT που αναπτύσσεται σε παραβιασμένες εφαρμογές Nextj.
Σε αντίθεση με προηγούμενες ευκαιριακές επιθέσεις που εγκατέστησαν απλούς εξορύκτες κρυπτονομισμάτων, το EtherRAT είναι ένα επίμονο εργαλείο κατασκοπείας που συνδέεται ξανά με φορείς που χρηματοδοτούνται από τη Βόρεια Κορέα (DPRK), αξιοποιώντας έξυπνες συμβάσεις Ethereum για ανθεκτική υποδομή εντολής και ελέγχου (C2).
Εκμετάλλευση του React2Shell (CVE-2025-55182)
Το σημείο εισόδου για αυτήν την καμπάνια είναι το CVE-2025-55182, ένα μη ασφαλές ελάττωμα αποσυναρμολόγησης στα React Server Components (RSC) που επιτρέπει την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας μέσω ενός μόνο αιτήματος HTTP.
Η ευπάθεια επηρεάζει τις εκδόσεις React 19.x και Next.js 15.x/16.x χρησιμοποιώντας το App Router. Μετά την αποκάλυψή του στις 3 Δεκεμβρίου 2025, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) το πρόσθεσε γρήγορα στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV), καθώς η ενεργή εκμετάλλευση αυξήθηκε.
Ενώ έχουν παρατηρηθεί ομάδες China-nexus όπως το “Earth Lamia” να αναπτύσσουν φάρους Cobalt Strike, η εκστρατεία EtherRAT σηματοδοτεί μια ξεχωριστή αλλαγή στο εμπόριο. Αντί για άμεση καταστροφή ή θορυβώδη εξόρυξη, αυτοί οι ηθοποιοί επικεντρώνονται στη μακροπρόθεσμη μυστικότητα και επιμονή.
| Τρωτό | CVE-2025-55182 (React2Shell) |
|---|---|
| Τύπος | Μη ασφαλής Deserialization / Απομακρυσμένη εκτέλεση κώδικα |
| Αυστηρότητα | Κρίσιμη (Μέγιστη σοβαρότητα) |
| Λογισμικό που επηρεάζεται | React 19.x, Next.js 15.x/16.x (Δρομολογητής εφαρμογής) |
| Ημερομηνία αποκάλυψης | 3 Δεκεμβρίου 2025 |
| Active Exploits | Cobalt Strike (China-nexus), EtherRAT (DPRK-nexus), XMRig |
EtherRAT το Blockchain Stealth
Το EtherRAT διακρίνεται μέσω ενός μοναδικού μηχανισμού «συναίνεσης» C2. Αντί να συνδεθεί σε μια IP διακομιστή με σκληρό κώδικα που μπορεί να αποκλειστεί, το κακόβουλο λογισμικό ζητά ένα συγκεκριμένο έξυπνο συμβόλαιο Ethereum για να ανακτήσει τη διεύθυνση URL του διακομιστή εντολών του.
Για να αποφευχθεί η παραβίαση ή η δηλητηρίαση, το EtherRAT υποβάλλει ερωτήματα σε εννέα διακριτά δημόσια τελικά σημεία απομακρυσμένης διαδικασίας κλήσης (RPC), συμπεριλαμβανομένων των Cloudflare, Flashbots και PublicNode, και αποδέχεται μόνο τη διεύθυνση URL C2 που επιστρέφεται από την πλειοψηφία.
Αυτή η τεχνική “EtherHiding” καθιστά τον παραδοσιακό αποκλεισμό που βασίζεται σε IP αναποτελεσματικό. Για τους υπερασπιστές, η κίνηση εμφανίζεται ως νόμιμα αιτήματα HTTPS σε γνωστές πύλες blockchain.
Επιπλέον, το κακόβουλο λογισμικό αποκρύπτει την επισκεψιμότητά του στο C2 ως αιτήματα για στατικά στοιχεία (όπως .png ή .css αρχεία), συνδυάζονται άψογα με την κανονική κίνηση εφαρμογών ιστού.
Σε μια κίνηση που έχει σχεδιαστεί για να παρακάμψει τους σαρωτές εφοδιαστικής αλυσίδας, το EtherRAT δεν δεσμεύει το δικό του χρόνο εκτέλεσης. Αντίθετα, το dropper κατεβάζει ένα νόμιμο, υπογεγραμμένο αντίγραφο του χρόνου εκτέλεσης Node.js απευθείας από το επίσημο nodejs.org διανομή.
Αυτό διασφαλίζει ότι το κακόβουλο λογισμικό έχει ένα σταθερό περιβάλλον εκτέλεσης χωρίς την εισαγωγή ύποπτων δυαδικών αρχείων που ενδέχεται να ενεργοποιήσουν ειδοποιήσεις προστασίας από ιούς.
Ανάλυση από το Sysdig TRT αποκαλύπτει σημαντικές επικαλύψεις κωδικών μεταξύ του EtherRAT και της καμπάνιας «Μεταδοτική Συνέντευξη», μια μακροχρόνια επιχείρηση που αποδίδεται σε ομάδες που συνδέονται με τη ΛΔΚ (Lazarus/UNC5342).
- Κοινόχρηστη κρυπτογράφηση: Και οι δύο καμπάνιες χρησιμοποιούν έναν σχεδόν πανομοιότυπο φορτωτή κρυπτογραφημένου AES-256-CBC για την προστασία των ωφέλιμων φορτίων τους.
- Υποδομή: Η χρήση του C2 που βασίζεται σε blockchain ευθυγραμμίζεται με την πρόσφατη υιοθέτηση των τεχνικών «EtherHiding» από τη ΛΔΚ.
- Στόχευση: Ενώ η “Μεταδοτική Συνέντευξη” στόχευε ιστορικά προγραμματιστές μέσω ψεύτικων προσφορών εργασίας, αυτή η στροφή προς την εκμετάλλευση ευπαθειών από την πλευρά του διακομιστή αντιπροσωπεύει μια επιθετική επέκταση των αρχικών διανυσμάτων πρόσβασης.
Ωστόσο, το EtherRAT είναι πιο εξελιγμένο από τα τυπικά ωφέλιμα φορτία «Μεταδοτικής Συνέντευξης», με πέντε πλεονάζοντες μηχανισμούς επιμονής (Systemd, XDG, Cron, Bashrc και Profile injection) σε σύγκριση με τον συνηθισμένο έναν ή δύο.
Μετριασμός και δείκτες συμβιβασμού
Οι οργανισμοί που εκτελούν Next.js ή React Server Components πρέπει να ενημερώσουν αμέσως την έκδοση 19.2.1 ή νεότερη. Οι Defenders θα πρέπει να αναζητήσουν τους ακόλουθους δείκτες, ιδιαίτερα την εξερχόμενη κίνηση σε δημόσιους κόμβους Ethereum RPC από διακομιστές ιστού, κάτι που είναι εξαιρετικά ανώμαλο στα περισσότερα περιβάλλοντα.
| Τύπος ένδειξης | Αξία / Μοτίβο |
|---|---|
| Διακομιστής σταδιοποίησης | 193.24.123[.]68:3001 (Κακόβουλη πηγή σεναρίου Shell) |
| Έξυπνο συμβόλαιο | 0x22f96d61cf118efabc7c5bf3384734fad2f6ead4 |
| Κυκλοφορία δικτύου | Γρήγορες αιτήσεις POST σε πολλαπλά Ethereum RPC (π.χ. eth.llamarpc[.]com, rpc.flashbots[.]καθαρά) |
| Αρχεία Τεχνουργήματα | Κρυφοί κατάλογοι σε $HOME/.local/share/ με τυχαία εξαγωνικά ονόματα (π.χ., .05bf0e9b) |
| Διαδικασία | Το Node.js επεξεργάζεται την αναπαραγωγή από κρυφούς καταλόγους όπως .local/share/ προκειμένου /usr/bin/ |
Ο συνδυασμός μηδενικής εκμετάλλευσης και αμετάβλητης υποδομής blockchain καθιστά το EtherRAT τρομερή απειλή. Συνιστάται στις ομάδες ασφαλείας να εστιάζουν στον εντοπισμό χρόνου εκτέλεσης των μηχανισμών εμμονής και στα ασυνήθιστα μοτίβα κυκλοφορίας RPC αντί να βασίζονται αποκλειστικά σε στατικές υπογραφές αρχείων.
