Κακόβουλο λογισμικό ZnDoor που εκμεταλλεύεται ευπάθεια React2Shell για παραβίαση συσκευών δικτύου

Από τον Δεκέμβριο του 2025, έχει εμφανιστεί μια ανησυχητική τάση σε ιαπωνικούς οργανισμούς, καθώς οι εισβολείς εκμεταλλεύονται μια κρίσιμη ευπάθεια στις εφαρμογές React/Next.js.

Η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-55182 και είναι γνωστή ως React2Shell, αντιπροσωπεύει ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που προσελκύει ευρεία εκμετάλλευση.

Ενώ οι αρχικές επιθέσεις ανέπτυξαν κυρίως εξορύκτες κρυπτονομισμάτων, οι ερευνητές ασφαλείας αποκάλυψαν πιο εξελιγμένες απειλές που στοχεύουν την υποδομή δικτύου μέσω ενός άγνωστου κακόβουλου λογισμικού που ονομάζεται ZnDoor.

Η εμφάνιση του ZnDoor σηματοδότησε μια σημαντική κλιμάκωση σε αυτές τις επιθέσεις. Αυτός ο trojan απομακρυσμένης πρόσβασης επιδεικνύει προηγμένες δυνατότητες πολύ πέρα ​​από απλές λειτουργίες εξόρυξης.

Τα στοιχεία δείχνουν ότι το ZnDoor είναι ενεργό τουλάχιστον από τον Δεκέμβριο του 2023, εδραιώνοντας αθόρυβα την παρουσία του σε στοχευμένα περιβάλλοντα.

Η εξελιγμένη αρχιτεκτονική του κακόβουλου λογισμικού υποδηλώνει προσεκτική ανάπτυξη και στρατηγική ανάπτυξη σε συσκευές δικτύου, γεγονός που το καθιστά σοβαρό πρόβλημα για τις ομάδες ασφάλειας των επιχειρήσεων.

Αναλυτές NTT Security αναγνωρισθείς ZnDoor μέσω λεπτομερούς εγκληματολογικής ανάλυσης παραβιασμένων συστημάτων.

Η έρευνά τους αποκάλυψε μια συντονισμένη αλυσίδα επίθεσης που ξεκινά με την εκμετάλλευση του React2Shell και καταλήγει στην επίμονη πρόσβαση σε κερκόπορτα μέσω της ανάπτυξης ZnDoor.

Μηχανισμός μόλυνσης και Επιχειρήσεις Διοίκησης και Ελέγχου

Ο μηχανισμός μόλυνσης ακολουθεί μια απλή αλλά αποτελεσματική οδό. Οι εισβολείς εκμεταλλεύονται το React2Shell για να εκτελέσουν μια εντολή φλοιού που κατεβάζει και εκτελεί το ZnDoor από εξωτερικούς διακομιστές στην 45.76.155.14.

Η εντολή εκτελείται μέσω /bin/sh και δημιουργεί αμέσως επικοινωνία με τον διακομιστή εντολών και ελέγχου στο api.qtss.cc:443.

Οι λεπτομέρειες διαμόρφωσης, συμπεριλαμβανομένης της διεύθυνσης και της θύρας C2, κρυπτογραφούνται χρησιμοποιώντας κρυπτογράφηση AES-CBC μετά την αποκωδικοποίηση Base64, προστατεύοντας την υποδομή επικοινωνίας του κακόβουλου λογισμικού από περιστασιακή επιθεώρηση.

Το ZnDoor λειτουργεί ως ένα πλήρως εξοπλισμένο trojan απομακρυσμένης πρόσβασης με ολοκληρωμένες δυνατότητες ελέγχου συστήματος. Το κακόβουλο λογισμικό στέλνει συνεχώς beacon στον διακομιστή του C2 κάθε δευτερόλεπτο, μεταδίδοντας πληροφορίες συστήματος, συμπεριλαμβανομένων διευθύνσεων δικτύου, ονόματος κεντρικού υπολογιστή, ονόματος χρήστη και αναγνωριστικών διεργασίας μέσω αιτημάτων HTTP POST.

Αυτή η επίμονη επικοινωνία επιτρέπει στους εισβολείς να στέλνουν εντολές για λειτουργίες αρχείων, εκτέλεση φλοιού, απαρίθμηση συστήματος και ενεργοποίηση διακομιστή μεσολάβησης SOCKS5.

Η δομή εντολών χρησιμοποιεί οριοθέτες διπλού κατακερματισμού για την ανάλυση εντολών, υποστηρίζοντας λειτουργίες όπως η διαδραστική αναπαραγωγή φλοιού, η λίστα καταλόγων, ο χειρισμός αρχείων και η δημιουργία σήραγγας δικτύου.

Η αποφυγή ανίχνευσης αντιπροσωπεύει μια κρίσιμη πτυχή του σχεδιασμού του ZnDoor. Το κακόβουλο λογισμικό εφαρμόζει πλαστογράφηση ονόματος διεργασίας για να μεταμφιεστεί ως νόμιμες διαδικασίες συστήματος, καθιστώντας δύσκολη την αναγνώριση μέσω της συμβατικής παρακολούθησης.

Επιπλέον, τροποποιεί τις χρονικές σημάνσεις αρχείων στις 15 Ιανουαρίου 2016, επιχειρώντας να αποφύγει τις ιατροδικαστικές έρευνες.

Το κακόβουλο λογισμικό εκτελεί μηχανισμούς αυτόματης επανεκκίνησης χρησιμοποιώντας θυγατρικές διαδικασίες, περιπλέκοντας τις προσπάθειες ανάλυσης. Αυτές οι περίπλοκες τακτικές φοροδιαφυγής υπογραμμίζουν την προηγμένη φύση αυτής της απειλής και υπογραμμίζουν τη σημασία της παρακολούθησης της συμπεριφοράς.