Celah Kritis React2Shell Dimanfaatkan dalam Serangan Ransomware

Sebuah kelompok ransomware dilaporkan memanfaatkan celah keamanan kritis React2Shell untuk menembus jaringan perusahaan dan meluncurkan malware enkripsi file dalam waktu kurang dari satu menit setelah akses awal diperoleh. Kerentanan dengan kode CVE-2025-55182 ini menjadi sorotan karena tingkat eksploitasi yang sangat cepat dan dampaknya yang signifikan.

React2Shell merupakan masalah insecure deserialization pada protokol Flight milik React Server Components (RSC), yang digunakan oleh pustaka React dan framework Next.js. . Celah ini memungkinkan penyerang mengeksekusi kode JavaScript secara jarak jauh di sisi server tanpa memerlukan autentikasi, sehingga membuka peluang besar bagi kompromi sistem.

Tak lama setelah kerentanan tersebut dipublikasikan, berbagai aktor ancaman langsung memanfaatkannya. Peretas yang diduga berafiliasi dengan negara tertentu menggunakannya untuk operasi spionase siber dan penyebaran malware EtherRAT. Di sisi lain, pelaku kejahatan siber juga memanfaatkannya untuk serangan penambangan kripto secara ilegal.

Peneliti dari perusahaan intelijen dan keamanan siber S-RM mengungkap bahwa React2Shell digunakan dalam serangan ransomware pada 5 Desember lalu. Dalam insiden tersebut, pelaku menyebarkan ransomware Weaxor setelah berhasil mendapatkan akses awal ke sistem target.

Weaxor sendiri pertama kali muncul pada akhir 2024 dan diyakini sebagai rebranding dari operasi Mallox atau FARGO, yang sebelumnya dikenal menargetkan server MS-SQL. Seperti pendahulunya, Weaxor tergolong operasi dengan tingkat kompleksitas rendah dan mengandalkan serangan oportunistik terhadap server yang terekspos ke publik, dengan tuntutan tebusan relatif kecil.

Berbeda dengan banyak kelompok ransomware modern, Weaxor tidak mengoperasikan portal kebocoran data untuk skema pemerasan ganda. Tidak ditemukan pula indikasi bahwa pelaku melakukan eksfiltrasi data sebelum proses enkripsi dijalankan.

Menurut temuan S-RM, pelaku langsung menjalankan modul enkripsi sesaat setelah memperoleh akses melalui React2Shell. Meski pola ini mengarah pada dugaan serangan otomatis, tidak ada bukti teknis yang secara jelas mendukung asumsi tersebut di lingkungan yang terdampak.

Segera setelah pelanggaran terjadi, penyerang mengeksekusi perintah PowerShell yang telah diobfusksi untuk menanamkan Cobalt Strike beacon sebagai sarana komunikasi command and control. Langkah berikutnya adalah menonaktifkan perlindungan real-time Windows Defender, lalu menjalankan payload ransomware. Seluruh rangkaian ini berlangsung dalam waktu kurang dari satu menit sejak tahap akses awal.

Serangan tersebut dilaporkan hanya berdampak pada endpoint yang rentan terhadap React2Shell, tanpa adanya aktivitas pergerakan lateral ke sistem lain. Setelah proses enkripsi selesai, file korban diberi ekstensi “.WEAX”, dan setiap direktori yang terdampak berisi catatan tebusan bernama “RECOVERY INFORMATION.txt” dengan instruksi pembayaran.

Selain mengenkripsi data, Weaxor juga menghapus volume shadow copies untuk mencegah pemulihan sistem secara mudah, serta membersihkan log peristiwa guna mempersulit analisis forensik. Menariknya, host yang sama kemudian kembali dikompromikan oleh aktor lain dengan payload berbeda, menunjukkan tingginya aktivitas berbahaya yang beredar memanfaatkan celah React2Shell.

S-RM menekankan bahwa penerapan patch saja tidak cukup untuk menghadapi ancaman ini. Administrator sistem disarankan meninjau log peristiwa Windows dan telemetri EDR untuk mendeteksi pembuatan proses mencurigakan yang berasal dari biner Node atau React. Munculnya proses cmd.exe atau powershell.exe yang dipicu oleh node.exe dianggap sebagai indikator kuat eksploitasi React2Shell. Aktivitas lain seperti koneksi keluar yang tidak lazim, penonaktifan solusi keamanan, penghapusan log, hingga lonjakan penggunaan sumber daya juga perlu dianalisis secara menyeluruh.