EtherRAT: блокчейн‑C2 и React2Shell через CVE-2025-55182

Недавно обнаруженный имплантат EtherRAT выявил новую, хорошо спланированную киберкампанию, использующую уязвимость в серверных компонентах React (RSCS), идентифицированную как CVE-2025-55182. Уязвимость позволяет выполнять удалённый код без проверки подлинности посредством одного HTTP‑запроса и затрагивает React 19.x, а также фреймворки на его базе — в частности Next.js 15.x и 16.x при использовании App Router. По своим целям EtherRAT — не массовый майнер и не простой вор паролей: это имплантат постоянного доступа с многоступенчатой, модульной архитектурой и нестандартным C2.

Ключевые особенности кампании

• Вектор доставки: эксплуатация уязвимости в серверных компонентах React через эксплойт React2Shell.
• Многоступенчатая цепочка распространения — четыре этапа от первичного исполнения до закрепления и постоянного управления.
• Шифрование полезной нагрузки: расшифровка основного модуля с использованием AES-256-CBC.
• Инновационный C2: использование смарт‑контрактов Ethereum для динамического определения URL серверов управления.
• Множественные механизмы закрепления для выживания после перезагрузки и действий администратора.

Как работает цепочка атак

Атака стартует с выполнения команды оболочки в кодировке base64, которая загружает и запускает скрипт оболочки. Этот первоначальный доступ достигается через эксплуатацию React2Shell. Дальше процесс разворачивается по следующей логике:

• Загрузка и запуск первоначального shell‑скрипта (base64‑запрос).
• Установка инфраструктуры закрепления и подготовка окружения.
• Дроппер на JavaScript, замаскированный и запутанный, который расшифровывает основную полезную нагрузку с применением AES-256-CBC.
• Запуск расшифрованного имплантата — EtherRAT — с реализацией механизмов постоянного доступа и связи с C2.

«уязвимость позволяет выполнять удалённый код без проверки подлинности»

Командование и контроль: блокчейн как укрытие

Одна из самых нетривиальных черт EtherRAT — C2, который использует смарт‑контракты Ethereum для определения действительного URL серверов управления. Вместо жёстко закодированных адресов имплантат опрашивает заранее определённый смарт‑контракт, собирает ответы от нескольких конечных точек и выбирает наиболее часто возвращаемый URL. Полученные ответы длиной более десяти символов интерпретируются как исполняемый JavaScript‑код и выполняются локально.

Такой подход затрудняет блокировку по традиционным индикаторам компрометации (IOC), поскольку контрольный URL может динамически меняться и не присутствовать в бинарях вредоносного ПО.

Механизмы закрепления

EtherRAT реализует несколько методов сохранения доступа на целевой системе. В отчёте отмечено, что имплантат использует пять различных способов закрепления, включая, но не ограничиваясь:

• создание записей автозапуска XDG;
• добавление заданий в cron, которые повторно запускают вредоносный код после перезагрузки;
• инъекции в профили пользователей — модификация .bashrc и аналогичных файлов;
• механизмы обновления полезной нагрузки через взаимодействие с сервером C2 для подкрепления и замены модулей;
• и другие устойчивые методы, направленные на сохранение доступа несмотря на системные изменения.

Уклонение и скрытность

Имплантат дополнительно стремится к маскировке: он способен загружать легитимные модули Node.js и использовать их распространение как средство уклонения от обнаружения механизмами защиты. Такой «смесью» доброкачественного кода и враждебной логики усложняется анализ и блокировка.

Атрибуция угроз

По ряду признаков поведение EtherRAT коррелирует с известными действиями северокорейских и некоторых китайских групп. Тем не менее кампания выделяется двумя ключевыми отличиями:

• вектор доставки — непосредственная эксплуатация уязвимости React/RSCS (React2Shell);
• механизм C2 — использование блокчейн‑инфраструктуры вместо традиционных статических или доменно‑форвардированных серверов C2.

Эти отличия указывают на переход к более стратегическому, ориентированному на долгосрочные цели подходу, при котором приоритетом становится сохранение скрытого присутствия и возможность оперативного обновления инструментов.

Последствия и рекомендации

Исходя из особенностей кампании, последствия для уязвимых серверов и инфраструктур — серьёзные: устойчивый удалённый доступ, возможность выполнения произвольного кода, скрытое обновление модулей и трудности с блокировкой C2. Рекомендуемые меры воздействия и предотвращения инцидентов:

• немедленное обновление React и Next.js до версий, содержащих фиксы для CVE-2025-55182 (проверять официальные advisory от разработчиков);
• ограничение и санация серверных компонентов: отключение неиспользуемых серверных функций, повышение контроля ввода и валидации на сервере;
• ограничение исходящих подключений с серверов приложения, мониторинг DNS‑запросов и обращений к смарт‑контрактам в блокчейн‑сетях;
• проверка систем на индикаторы закрепления: записи автозапуска XDG, новые cron‑задания, изменения в .bashrc и других профилях пользователей;
• использование EDR/NDR для анализа выполняемых JavaScript‑модулей и обнаружения необычных интерпретаций ответов C2 (включая исполнение кода, полученного по сети);
• внедрение процессов реагирования: сбор форензики, анализ образов системы и контроль целевых Node.js‑модулей;
• обмен IOC и наблюдениями с сообществом безопасности и поставщиками threat intelligence.

Вывод

EtherRAT демонстрирует, как уязвимость в популярной клиентской технологии может быть переосмыслена и использована в масштабных операциях постоянного доступа. Комбинация эксплоита React2Shell, продвинутых методов закрепления и инновационного C2 на базе Ethereum подчёркивает, что современные угрозы становятся более изощрёнными и стратегически ориентированными. Организациям следует незамедлительно оценить свои среды на предмет уязвимости, усилить контроль исходящего трафика и подготовить механизмы быстрого реагирования на подобные инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.