Google is now tracking at least five Chinese cyber-espionage groups that are exploiting the React2Shell vulnerability for initial access.

The groups are UNC6600, UNC6586, UNC6588, UNC6595, and UNC6603. This is up from two at the beginning.

https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182/

React2shell CVE-2025-55182のせいで勝手にサーバでマイニングされてた（むしろその程度で済んでよかったねクラスのあかんやつ）という話をたくさん聞いてるのでお気をつけくださいまし…

DifyをセルフホストしたやつをパブリックなIPに少しでも晒したら即死とか聞いとるでな。

Missed this yesterday - Google TIG published what they've been seeing on React2Shell.

Dovetails with @hrbrmstr 's tireless work lately.

#threatintel

https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182

Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server

Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso piede all’interno delle reti dei soggetti colpiti.

Una vulnerabilità critica, identificata come CVE-2025-55182, è stata segnalata alla comunità della sicurezza il 3 dicembre 2025, riguardante React Server Components (RSC). Questa falla di sicurezza, con un punteggioCVSS massimo di 10,0, permette a malintenzionati di eseguire codice arbitrario su un server mediante l’invio di una sola richiesta HTTP appositamente strutturata, senza necessità di autenticazione.

Il mondo informatico ha reagito con prontezza. Subito dopo la notizia pubblica, numerosi cluster di minacce sono stati sfruttati diffusamente, come rilevato dal Google Threat Intelligence Group (GTIG), che ha notato attività sia di gruppi di criminali informatici opportunisti fino a presunti operatori di spionaggio.

Poiché React e Next.js sono fondamentali per il web moderno, la superficie di attacco è enorme. “GTIG considera CVE-2025-55182 una vulnerabilità a rischio critico”. L’attività più allarmante identificata nel rapporto proviene da autori di minacce collegate alla Cina, che hanno rapidamente integrato l’exploit nei loro arsenali per distribuire malware specializzati. Il GTIG ha identificato diverse campagne distinte:

• Tunnelers di UNC6600: questo gruppo è stato visto utilizzare MINOCAT, un sofisticato tunneler. Hanno fatto di tutto per nascondere le proprie tracce, creando directory nascoste come $HOME/.systemd-utils e uccidendo spietatamente i processi legittimi per liberare risorse.
• C2 “legittimo” (UNC6603): questo autore ha implementato una versione aggiornata della backdoor HISONIC. In un’astuta mossa per mimetizzarsi, HISONIC “utilizza servizi cloud legittimi, come Cloudflare Pages e GitLab, per recuperare la sua configurazione crittografata”.
• The Masqueraders (UNC6595): Distribuendo un malware denominato ANGRYREBEL.LINUX, questo gruppo ha tentato di eludere il rilevamento “mascherando il malware come il legittimo demone OpenSSH (sshd) all’interno della directory /etc/” e utilizzando tecniche anti-forensi come il timestomping.
• Vim Impostor (UNC6588): in un’altra ondata di attacchi, gli autori hanno utilizzato l’exploit per scaricare COMPOOD, una backdoor che si camuffava da popolare editor di testo Vim per evitare sospetti.

“GTIG ha identificato campagne distinte che sfruttano questa vulnerabilità per distribuire un tunneler MINOCAT, un downloader SNOWLIGHT, una backdoor HISONIC e una backdoor COMPOOD, nonché miner di criptovalute XMRIG, alcune delle quali si sovrappongono all’attività precedentemente segnalata da Huntress“.

Oltre allo spionaggio, a partire dal 5 dicembre si sono uniti alla mischia anche criminali motivati da interessi finanziari, che hanno utilizzato i miner XMRig per dirottare le risorse del server e generare criptovalute.

Il caos è stato ulteriormente aggravato da un’ondata di disinformazione. Nelle prime ore successive alla divulgazione, Internet è stato inondato di exploit falsi. Un importante repository “che inizialmente sosteneva di essere un exploit funzionale legittimo, ha ora aggiornato il proprio file README per etichettare correttamente le affermazioni iniziali della ricerca come generate dall’intelligenza artificiale e non funzionali”.

L'articolo Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server proviene da Red Hot Cyber.

An actively exploited GeoServer XXE vulnerability is prompting renewed discussion around breach readiness in public-sector and enterprise environments.

Experts note that unauthenticated flaws in widely deployed open-source platforms significantly increase exposure, especially where asset discovery and patch coordination are constrained.

Venky Raju, Field CTO at ColorTokens:
“The massive adoption of open-source software has significantly increased the attack surface of many enterprises, often without their knowledge. Unauthenticated vulnerabilities are particularly concerning because they bypass identity and application-level controls. The GeoServer vulnerability comes on the heels of a larger one called React2Shell (CVE-2025-55182), which scored a perfect 10 on the CVSS metric.

However, enterprises may not be able to patch servers quickly due to internal challenges, such as discovering affected assets, identifying affected applications, scheduling patch updates, etc. As an emergency measure, organizations should consider microsegmentation controls to isolate affected assets or zones with just enough policies to maintain business continuity while preventing lateral movement using commonly used techniques. The MITRE framework is an excellent guide for identifying the tactics hackers use to move laterally from the initially compromised system.”

How are teams handling containment when patching isn’t immediate?

Engage and follow @technadu for grounded infosec coverage.

#InfoSec #ZeroTrust #Microsegmentation #GeoServer #OpenSourceRisk #ThreatDetection #TechNadu

New React RSC Vulnerabilities Enable DoS and Source Code Exposure
https://thehackernews.com/2025/12/new-react-rsc-vulnerabilities-enable.html

The React team has released fixes for two new types of flaws in React Server
Components (RSC) that, if successfully exploited, could result in
denial-of-service (DoS) or source code exposure.

The team said the issues were found by the security community while attempting
to exploit the patches released for CVE-2025-55182 (CVSS score: 10.0), a
critical bug in RSC that has since been weaponized in the wild.

The three vulnerabilities are listed below -

CVE-2025-55184 (CVSS score: 7.5) - A pre-authentication denial of service
vulnerability arising from unsafe deserialization of payloads from HTTP
requests to Server Function endpoints, triggering an infinite loop that hangs
the server process and may prevent future HTTP requests from being served
CVE-2025-67779 (CVSS score: 7.5) - An incomplete fix for CVE-2025-55184 that
has the same impact
CVE-2025-55183 (CVSS score: 5.3) - An information leak vulnerability that may
cause a specifically crafted HTTP request sent to a vulnerable Server Function
to return the source code of any Server Function

However, successful exploitation of CVE-2025-55183 requires the existence of a
Server Function that explicitly or implicitly exposes an argument that has
been converted into a string format.

I see that Brendan Eich from Brave is out lying about @Vivaldi again. He claims that Brave was pretty much the first out with a fix for CVE-2025-14174 and that Vivaldi still has not released a fix.

AFAIK we were actually first because we released 7.7.3862.88 (Android) based on 142.0.7444.237 from the Extended Support Release branch at 13:00 UTC (and for Desktop [7.7.3851.61] one hour later) on the 10th of December (the day before Brave and even before Chrome), which includes a fix for CVE-2025-14174. However since that CVE was not being publicly discussed yet, it was not initially listed in the changelog.

I have updated the Desktop announcement to mention the CVE now. Here it is:

https://vivaldi.com/blog/desktop/minor-update-five-7-7/

Also FWIW my Masto bot which tracks various desktop browser updates announced us here:

https://social.vivaldi.net/@browserversiontracker/115695393613130159

That bot has a sibling that looks at Vivaldi only releases (all platforms), which caught the Android release:

https://social.vivaldi.net/@vivaldiversiontracker/115695161453809439

And here is when it detected the Brave annoucement, more than a day later:

https://social.vivaldi.net/@browserversiontracker/115702471419843978

Apple has released security updates for multiple operating systems and its Safari browser to address two WebKit flaws that have been exploited in the wild. One of these vulnerabilities, CVE-2025-14174, is the same flaw previously patched in Google Chrome.
https://thehackernews.com/2025/12/apple-issues-security-updates-after-two.html

Apple Issues Security Updates After Two WebKit Flaws Found Exploited in the Wild

Apple has released security updates for multiple operating systems and its Safari browser to address two WebKit flaws that have been exploited in the wild. One of these vulnerabilities, CVE-2025-14174, is the same flaw previously patched in Google Chrome. https://thehackernews.com/2025/12/apple-issues-security-updates-after-two.html

[VULN] "Sécurité : Apple comble deux failles « zero-day » avec iOS 26.2 et macOS 26.2"

"La première (CVE-2025-43529) concerne WebKit, le moteur de rendu de Safari. Il s'agit d'une faille de type use-after-free qui permet l'exécution de code arbitraire simplement en traitant un contenu web malveillant. La seconde (CVE-2025-14174) est une corruption de mémoire identifiée non seulement par les équipes d'Apple, mais aussi par le Threat Analysis Group de Google.

Fait intéressant, Google a également dû corriger Chrome en urgence mercredi dernier pour une faille similaire..."
👇
https://www.macg.co/ios/2025/12/securite-apple-comble-deux-failles-zero-day-avec-ios-262-et-macos-262-305619
⬇️
https://cve.circl.lu/vuln/CVE-2025-14174

💬
⬇️
https://infosec.pub/post/38999452

#Cyberveille #vuln #webkit #apple

Apple aggiorna due bug 0day critici in iOS, presumibilmente abusati dagli spyware

In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone e iPad.

Entrambe le vulnerabilità risiedono in WebKit, il motore che alimenta Safari e visualizza i contenuti web nell’ecosistema iOS.

Catalogate come CVE-2025-43529 e CVE-2025-14174, permettono agli attaccanti di attivare codice malevolo attraverso l’inganno della vittima che viene portata a visitare una specifica pagina web.

Per attivare l’exploit, non è necessario che un aggressore abbia un accesso fisico al dispositivo; è sufficiente che venga elaborato un contenuto web creato in modo dannoso, ad esempio un sito web compromesso o una pubblicità dannosa.

L’avviso di Apple riporta quanto segue: “Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici nelle versioni di iOS precedenti a iOS 26″.

Questa formulazione è solitamente riservata alle campagne di spyware mercenarie sponsorizzate dallo Stato, in cui vengono presi di mira obiettivi di alto valore come giornalisti, diplomatici e dissidenti.

Le due falle sfruttano debolezze diverse nel modo in cui il browser gestisce la memoria:

CVE-2025-43529 (Use-After-Free): scoperta dal Google Threat Analysis Group (TAG), questa vulnerabilità comporta un errore “use-after-free”. In parole povere, il programma tenta di utilizzare la memoria dopo che è stata liberata, consentendo agli hacker di manipolarla per eseguire codice arbitrario. Apple ha risolto questo problema migliorando la gestione della memoria (WebKit Bugzilla: 302502).

CVE-2025-14174 (Corruzione della memoria): attribuito sia ad Apple che a Google TAG, questo problema consente la corruzione della memoria, una condizione che può causare il crash di un sistema o aprire una backdoor per gli aggressori. È stato corretto con una convalida dell’input migliorata (WebKit Bugzilla: 303614).

L'articolo Apple aggiorna due bug 0day critici in iOS, presumibilmente abusati dagli spyware proviene da Red Hot Cyber.

[VULN] "Sécurité : Apple comble deux failles « zero-day » avec iOS 26.2 et macOS 26.2"

"La première (CVE-2025-43529) concerne WebKit, le moteur de rendu de Safari. Il s'agit d'une faille de type use-after-free qui permet l'exécution de code arbitraire simplement en traitant un contenu web malveillant. La seconde (CVE-2025-14174) est une corruption de mémoire identifiée non seulement par les équipes d'Apple, mais aussi par le Threat Analysis Group de Google.

Fait intéressant, Google a également dû corriger Chrome en urgence mercredi dernier pour une faille similaire..."
👇
https://www.macg.co/ios/2025/12/securite-apple-comble-deux-failles-zero-day-avec-ios-262-et-macos-262-305619
⬇️
https://cve.circl.lu/vuln/CVE-2025-14174

💬
⬇️
https://infosec.pub/post/38999452

#Cyberveille #vuln #webkit #apple

Apple aggiorna due bug 0day critici in iOS, presumibilmente abusati dagli spyware

In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone e iPad.

Entrambe le vulnerabilità risiedono in WebKit, il motore che alimenta Safari e visualizza i contenuti web nell’ecosistema iOS.

Catalogate come CVE-2025-43529 e CVE-2025-14174, permettono agli attaccanti di attivare codice malevolo attraverso l’inganno della vittima che viene portata a visitare una specifica pagina web.

Per attivare l’exploit, non è necessario che un aggressore abbia un accesso fisico al dispositivo; è sufficiente che venga elaborato un contenuto web creato in modo dannoso, ad esempio un sito web compromesso o una pubblicità dannosa.

L’avviso di Apple riporta quanto segue: “Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici nelle versioni di iOS precedenti a iOS 26″.

Questa formulazione è solitamente riservata alle campagne di spyware mercenarie sponsorizzate dallo Stato, in cui vengono presi di mira obiettivi di alto valore come giornalisti, diplomatici e dissidenti.

Le due falle sfruttano debolezze diverse nel modo in cui il browser gestisce la memoria:

CVE-2025-43529 (Use-After-Free): scoperta dal Google Threat Analysis Group (TAG), questa vulnerabilità comporta un errore “use-after-free”. In parole povere, il programma tenta di utilizzare la memoria dopo che è stata liberata, consentendo agli hacker di manipolarla per eseguire codice arbitrario. Apple ha risolto questo problema migliorando la gestione della memoria (WebKit Bugzilla: 302502).

CVE-2025-14174 (Corruzione della memoria): attribuito sia ad Apple che a Google TAG, questo problema consente la corruzione della memoria, una condizione che può causare il crash di un sistema o aprire una backdoor per gli aggressori. È stato corretto con una convalida dell’input migliorata (WebKit Bugzilla: 303614).

L'articolo Apple aggiorna due bug 0day critici in iOS, presumibilmente abusati dagli spyware proviene da Red Hot Cyber.

🚨 CVE-2025-36747 (CRITICAL, CVSS 9.4): Hard-coded FTP creds in Growatt ShineLan-X 3.6.0.0 allow file tampering—no signature checks! Patch, restrict FTP, and monitor for abuse. https://radar.offseq.com/threat/cve-2025-36747-cwe-798-use-of-hard-coded-credentia-55cb0be8 #OffSeq #CVE202536747 #ICS #Infosec

🚨 CVE-2025-10738 (CRITICAL, CVSS 9.8): Unauthenticated SQL Injection in rupok98 URL Shortener Plugin for WordPress (all versions). Exploitation risks full DB compromise. Disable or restrict plugin ASAP! https://radar.offseq.com/threat/cve-2025-10738-cwe-89-improper-neutralization-of-s-08eed048 #OffSeq #WordPress #SQLi #Infosec

🚨 CRITICAL: CVE-2025-14440 in JAY Login & Register plugin (≤2.4.01) enables auth bypass—attackers can hijack any WordPress account, incl. admin. Disable plugin & monitor now. No patch yet. https://radar.offseq.com/threat/cve-2025-14440-cwe-565-reliance-on-cookies-without-51904fb2 #OffSeq #WordPress #Infosec #CVE202514440

🚨 CVE-2025-11693 (CRITICAL, CVSS 9.8): recorp Export WP Pages to HTML & PDF plugin exposes admin cookies via cookies.txt — risk of WordPress site takeover. Disable plugin & secure backups. No patch yet. https://radar.offseq.com/threat/cve-2025-11693-cwe-200-exposure-of-sensitive-infor-d010e42a #OffSeq #WordPress #Vuln #Infosec