Google: Thêm 5 nhóm hacker Trung Quốc khai thác lỗ hổng thực thi mã từ xa nghiêm trọng

Lỗ hổng này được định danh là CVE-2025-55182, đang bị hacker khai thác rộng rãi. React2Shell ảnh hưởng đến thư viện JavaScript mã nguồn mở React, cho phép kẻ tấn công không cần đăng nhập mà vẫn có thể chạy mã tùy ý trên các ứng dụng React và Next.js chỉ bằng một yêu cầu HTTP duy nhất.

React là thư viện JavaScript mã nguồn mở do Meta Platforms phát triển, dùng để xây dựng giao diện người dùng cho website và ứng dụng web. Nói dễ hiểu, React giúp tạo ra các trang web tương tác, mượt và phản hồi nhanh, giống như Facebook, Instagram hay nhiều ứng dụng web hiện đại khác. Tóm lại, React là nền tảng quan trọng đứng sau rất nhiều website và ứng dụng web hiện nay.

Next.js là framework (khung phát triển) dựa trên React, giúp lập trình viên xây dựng các ứng dụng web và website hiện đại nhanh hơn, tối ưu hơn.

Dù nhiều gói React (react-server-dom-parcel, react-server-dom-turbopack và react-server-dom-webpack) dễ bị tấn công trong cấu hình mặc định, lỗ hổng chỉ ảnh hưởng đến các phiên bản React 19.0, 19.1.0, 19.1.1 và 19.2.0 được phát hành trong vòng một năm qua.

Sau khi làn sóng tấn công bùng phát, hãng an ninh mạng Palo Alto Networks (Mỹ) cho biết hàng chục tổ chức đã bị xâm nhập, trong đó có vụ việc được cho là do các hacker Trung Quốc thực hiện. Các nhóm này lợi dụng lỗ hổng để chạy lệnh trái phép, đồng thời đánh cắp file cấu hình Amazon Web Services, thông tin đăng nhập và nhiều dữ liệu nhạy cảm khác.

Nhóm an ninh của Amazon Web Services cũng cảnh báo rằng các nhóm hacker Trung Quốc như Earth Lamia và Jackpot Panda đã bắt đầu khai thác React2Shell chỉ trong vòng vài giờ sau khi lỗ hổng được công bố.

Amazon Web Services là nhà cung cấp dịch vụ đám mây số 1 thế giới.

Thêm 5 nhóm hacker Trung Quốc bị liên kết với các cuộc tấn công React2Shell

Google Threat Intelligence Group báo cáo đã phát hiện thêm ít nhất 5 nhóm gián điệp mạng Trung Quốc khác tham gia các cuộc tấn công React2Shell đang diễn ra kể từ khi lỗ hổng được tiết lộ vào ngày 3.12.

Google Threat Intelligence Group là nhóm tình báo mối đe dọa của Google, chuyên theo dõi, phân tích và cảnh báo các nguy cơ an ninh mạng trên toàn cầu.

Danh sách 5 nhóm Trung Quốc đang khai thác lỗ hổng nay gồm:

UNC6600: Dùng phần mềm MINOCAT để “đào đường hầm” kết nối trái phép vào hệ thống nạn nhân, từ đó xâm nhập máy chủ hoặc mạng nội bộ; giữ kết nối bí mật và ổn định với hệ thống đã bị chiếm quyền; ẩn lưu lượng độc hại khiến hoạt động tấn công khó bị phát hiện hơn; cho phép hacker điều khiển từ xa, tải thêm mã độc hoặc đánh cắp dữ liệu.

UNC6586: Đưa vào hệ thống nạn nhân SNOWLIGHT. Chương trình này không trực tiếp gây hại ngay, mà có nhiệm vụ kết nối về máy chủ của hacker; tải thêm các mã độc khác theo lệnh (backdoor, trojan, công cụ đánh cắp dữ liệu…); cài đặt và kích hoạt các mã độc đó trên hệ thống bị xâm nhập.

UNC6588: Cài đặt phần mềm độc hại COMPOOD lên hệ thống nạn nhân để duy trì quyền truy cập bí mật lâu dài. COMPOOD là backdoor mà hacker mở ra trong hệ thống để âm thầm quay lại bất cứ lúc nào, ngay cả khi lỗ hổng ban đầu đã được vá; điều khiển máy chủ từ xa theo lệnh; đánh cắp dữ liệu, cài thêm mã độc khác hoặc theo dõi hoạt động; ẩn mình mà rất khó bị người dùng hay quản trị viên phát hiện.

UNC6603: Dùng phiên bản mới của HISONIC - loại backdoor cho phép hacker truy cập và điều khiển hệ thống từ xa một cách bí mật. Phiên bản mới HISONIC đã được chỉnh sửa, nâng cấp để tránh bị phần mềm bảo mật phát hiện, hoạt động ổn định hơn, bổ sung chức năng tấn công hoặc gián điệp.

UNC6595: Đưa vào hệ thống nạn nhân phần mềm độc hại ANGRYREBEL.LINUX để điều khiển máy chủ từ xa.

“Do việc sử dụng React Server Components trong các framework phổ biến như Next.js, hiện có số lượng lớn hệ thống bị phơi bày trên internet và dễ trở thành mục tiêu tấn công trước vấn đề này. Chúng tôi quan sát thấy lỗ hổng CVE-2025-55182 đang được bàn tán rộng rãi trên các diễn đàn ngầm, nơi hacker chia sẻ công cụ dò quét, mã tấn công mẫu và kinh nghiệm khai thác thực tế”, các nhà nghiên cứu Google Threat Intelligence Group cho hay.

React Server Components là cách xây dựng ứng dụng React, trong đó một phần giao diện được xử lý trực tiếp trên máy chủ, thay vì chạy hoàn toàn trên trình duyệt của người dùng.

Trong quá trình điều tra, Google Threat Intelligence Group còn phát hiện các tác nhân đe dọa từ Iran nhắm vào lỗ hổng React2Shell và các đối tượng tấn công vì động cơ tài chính triển khai phần mềm đào tiền mã hóa XMRig trên các hệ thống chưa được vá.

Shadowserver đang theo dõi hơn 116.000 địa chỉ IP dễ bị tấn công React2Shell, trong đó hơn 80.000 địa chỉ nằm tại Mỹ.

Shadowserver (có trụ sở ở Mỹ) là tổ chức phi lợi nhuận chuyên giám sát và bảo vệ an ninh internet trên phạm vi toàn cầu.

Hãng an ninh mạng GreyNoise (Mỹ) cũng ghi nhận hơn 670 địa chỉ IP đã cố gắng khai thác React2Shell trong 24 giờ qua, chủ yếu xuất phát từ Mỹ, Ấn Độ, Pháp, Đức, Hà Lan, Singapore, Nga, Úc, Vương quốc Anh và Trung Quốc.

Vào ngày 5.12, Cloudflare đã liên kết sự cố ngừng hoạt động trang web toàn cầu với các biện pháp khắc phục khẩn cấp với lỗ hổng React2Shell.

Cloudflare là một trong những nhà cung cấp hạ tầng internet quan trọng nhất thế giới, chuyên cung cấp dịch vụ mạng phân phối nội dung (CDN), bảo mật web và định tuyến lưu lượng. Nói một cách khác, Cloudflare đóng vai trò như “đường cao tốc” giúp dữ liệu từ máy chủ của các dịch vụ lớn đến được người dùng nhanh, ổn định và an toàn hơn.

Cloudflare giúp tăng tốc tải trang bằng cách lưu và phân phối nội dung từ các máy chủ gần người dùng; bảo vệ website khỏi các cuộc tấn công mạng (DDoS, bot độc hại, khai thác lỗ hổng); giảm chi phí băng thông và tải cho máy chủ gốc.

Công ty Mỹ hiện xử lý khoảng 20% lưu lượng web toàn cầu, một con số cực kỳ lớn với bất kỳ đơn vị hạ tầng internet nào.

Nhiều nền tảng quen thuộc như X, ChatGPT, Discord, Medium, Canva, Uber, DoorDash hoặc các trang tin tức quốc tế sử dụng Cloudflare để đảm bảo tốc độ truy cập và chống tấn công mạng. Vì thế, khi Cloudflare gặp sự cố kỹ thuật nội bộ, hàng nghìn dịch vụ phụ thuộc vào họ cũng bị ảnh hưởng dây chuyền.