Security

Google Kaitkan Lebih Banyak Grup Peretas China dengan Serangan React2Shell

December 16, 2025
1 minute read

Tim intelijen ancaman Google melaporkan bahwa lima grup peretas baru asal China terlibat dalam eksploitasi celah kritis React2Shell. Kerentanan ini, yang dilacak sebagai CVE-2025-55182, memungkinkan penyerang mengeksekusi kode arbitrer pada aplikasi berbasis React dan Next.js hanya dengan satu permintaan HTTP, tanpa perlu autentikasi.

Kerentanan pada React Versi Terbaru

React2Shell memengaruhi beberapa paket React populer seperti react-server-dom-parcel, react-server-dom-turbopack, dan react-server-dom-webpack. Namun, celah ini hanya terdapat pada versi React 19.0, 19.1.0, 19.1.1, dan 19.2.0 yang dirilis sepanjang tahun lalu. Dengan konfigurasi default, sistem yang menggunakan versi tersebut sangat rentan terhadap serangan.

Dampak Serangan: Data AWS Dicuri

Sejak celah ini dipublikasikan pada 3 Desember, berbagai organisasi dilaporkan mengalami kebocoran data. Palo Alto Networks mencatat puluhan insiden yang melibatkan aktor ancaman yang diduga didukung negara. Penyerang memanfaatkan celah ini untuk mengeksekusi perintah berbahaya, mencuri file konfigurasi Amazon Web Services (AWS), kredensial, serta informasi sensitif lainnya.

Tim keamanan AWS juga memperingatkan bahwa grup peretas Earth Lamia dan Jackpot Panda mulai mengeksploitasi React2Shell hanya beberapa jam setelah kerentanan diumumkan.

Lima Grup Peretas Baru Teridentifikasi

Google Threat Intelligence Group (GTIG) mendeteksi setidaknya lima grup peretas tambahan asal China yang ikut serta dalam serangan ini. Mereka adalah:

  • UNC6600: menggunakan perangkat tunneling MINOCAT
  • UNC6586: menyebarkan downloader SNOWLIGHT
  • UNC6588: mengoperasikan backdoor COMPOOD
  • UNC6603: memanfaatkan versi terbaru backdoor HISONIC
  • UNC6595: menyebarkan trojan akses jarak jauh ANGRYREBEL.LINUX

Menurut GTIG, penggunaan React Server Components (RSC) dalam framework populer seperti Next.js membuat jumlah sistem yang terekspos menjadi sangat besar. Diskusi terkait CVE-2025-55182 juga marak di forum bawah tanah, termasuk berbagi alat pemindaian, kode PoC, hingga pengalaman eksploitasi.

Ancaman Global dan Aktor Lain

Selain grup asal China, GTIG juga menemukan aktor ancaman dari Iran serta penyerang bermotif finansial yang memanfaatkan celah ini untuk memasang perangkat lunak penambang kripto XMRig pada sistem yang belum ditambal.

Organisasi pemantau internet Shadowserver saat ini melacak lebih dari 116.000 alamat IP yang rentan terhadap serangan React2Shell, dengan lebih dari 80.000 di antaranya berada di Amerika Serikat. Sementara itu, GreyNoise mencatat lebih dari 670 alamat IP mencoba mengeksploitasi celah ini dalam 24 jam terakhir, berasal dari berbagai negara termasuk AS, India, Prancis, Jerman, Belanda, Singapura, Rusia, Australia, Inggris, dan China.

Pada 5 Desember, Cloudflare bahkan mengaitkan gangguan global pada sejumlah situs web dengan mitigasi darurat terhadap kerentanan React2Shell.

Tags
December 16, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button