Des groupes liés à la Chine exploitent déjà la faille React2Shell : ce que l’on sait sur ces attaques
Des groupes de pirates sponsorisés par l'État chinois sont déjà passés à l'offensive et tentent d'exploiter massivement la vulnérabilité React2Shell. Voici ce que l'on sait sur ces tentatives d'exploitation.
Ce qui devait arriver arriva : les cybercriminels s'intéressent de près à la faille React2Shell pour tenter de compromettre des serveurs exposés sur Internet. C'est tout sauf une surprise puisque cette faille affecte des composants Web comme React et Next.js.
Un nouveau rapport publié par l'équipe de Threat Intelligence d'Amazon précise que de multiples groupes de pirates en lien avec l'État chinois ont commencé à exploiter cette vulnérabilité dès le 3 décembre 2025.
"Grâce à la surveillance de notre infrastructure honeypot AWS MadPot, les équipes de renseignements sur les menaces d'Amazon ont identifié à la fois des groupes connus et des clusters de menaces jusqu'alors non détectés qui tentaient d'exploiter la vulnérabilité CVE-2025-55182.", peut-on lire. Preuve que cette vulnérabilité est attractive pour les cybercriminels.
Si Amazon publie un rapport à ce sujet, ce n'est pas un hasard : de nombreuses instances Cloud AWS sont probablement vulnérables. Le géant américain précise : "Les clients qui exécutent React ou Next.js dans leurs propres environnements (Amazon Elastic Compute Cloud (Amazon EC2), conteneurs, etc.) doivent immédiatement mettre à jour les applications vulnérables."
Qui exploite la faille React2Shell ?
L'équipe d'Amazon explique que les tentatives d'exploitation proviennent d'adresses IP et d'infrastructures liées à des groupes malveillants connus pour être liés à l'État chinois. Deux noms sont cités :
- Earth Lamia : un groupe qui exploite des vulnérabilités d’applications Web pour cibler divers secteurs (finance, logistique, commerce, IT, universités, gouvernements) en Amérique latine, au Moyen-Orient et en Asie du Sud-Est.
- Jackpot Panda : un groupe qui cible principalement des organisations en Asie de l’Est et du Sud-Est, dans une logique de collecte liée à des priorités de sécurité intérieure et de lutte contre la corruption.
D'autres groupes sont actifs, mais il est plus difficile de les identifier : "Ces réseaux sont utilisés simultanément par plusieurs groupes malveillants, ce qui rend difficile l'attribution d'activités spécifiques à des acteurs individuels.", précise le rapport.
Les cybercriminels sont déjà bien outillés, avec d'une part des outils de scans pour identifier des cibles, et d'autre part, des exploits PoC pour exploiter la vulnérabilité React2Shell. "Une observation notable issue de notre enquête est que de nombreux acteurs malveillants tentent d'utiliser des PoC publics qui ne fonctionnent pas réellement dans des scénarios concrets.", peut-on lire.
D'ailleurs, il est intéressant de noter qu'un groupe de pirates a passé près d’une heure à tester activement diverses charges d’exploitation, en exécutant 116 requêtes en 52 minutes vers une cible. Ils ont tenté d'exécuter des commandes telles que whoami, id, des écritures dans /tmp/ et la lecture de /etc/passwd. L'adresse IP en question : 183[.]6.80.214. C'est aussi le signe que les attaquants affinent et déboguent leurs techniques sur des cibles actives.
Patchez vos applications affectées dès que possible.
