ثغرة React2Shell: مجموعات تجسس صينية تستغلها فور اكتشافها
رصدت مجموعتان تجسسيتان مرتبطتان بالصين استغلال ثغرة أمنية حديثة في React Server Components (RSC) بعد ساعات قليلة من ظهورها للعلن. الثغرة، المعروفة بالرمز CVE-2025-55182، تتيح تنفيذ تعليمات برمجية عن بعد دون الحاجة إلى مصادقة.
تم اكتشاف هذا الاستغلال السريع من قبل فرق الأمن السيبراني التابعة لشركة أمازون ويب سيرفيسز (AWS) من خلال بنية تحتية لرصد محاولات الاختراق. وفقاً لتقرير حديث، فإن المجموعتين اللتين تم تحديدهما هما Earth Lamia و Jackpot Panda، وكلاهما لهما ارتباطات بالصين.
تُظهر التقارير أن هذه المجموعات استغلت ثغرة React2Shell (CVE-2025-55182) فور الكشف عنها، مما يشير إلى مدى سرعتها في تبني أحدث التهديدات السيبرانية. وقد تم بالفعل إصدار تحديثات لمعالجة هذه الثغرة في إصدارات React 19.0.1، و 19.1.2، و 19.2.1.
تكتيكات مجموعات التجسس واستراتيجياتها
وفقاً لتقرير أمازون، فإن البنية التحتية التي تم رصدها ترتبط بمجموعات تهديد معروفة لها اتصالات بدولة الصين. وهذا يؤكد مدى خطورة هذه الثغرة الجديدة وقدرة المهاجمين على استغلالها بسرعة.
من جهة أخرى، أشارت أمازون تحديداً إلى رصد بنية تحتية مرتبطة بمجموعة Earth Lamia، التي سبق أن تم ربطها بهجمات استهدفت ثغرة حرجة في SAP NetWeaver في وقت سابق من هذا العام. وقد استهدف هذا الفاعل السيبراني قطاعات متنوعة تشمل الخدمات المالية، واللوجستيات، والتجزئة، وشركات تكنولوجيا المعلومات، والجامعات، والمؤسسات الحكومية.
بالإضافة إلى ذلك، تم الكشف عن محاولات استغلال من بنية تحتية مرتبطة بجهة تهديد سيبراني أخرى ذات صلة بالصين تُعرف باسم Jackpot Panda. هذه المجموعة تستهدف بشكل خاص الكيانات المشاركة في عمليات القمار عبر الإنترنت أو الداعمة لها في شرق وجنوب شرق آسيا.
استهدافات Jackpot Panda
تشير تقارير إلى أن Jackpot Panda نشطة منذ عام 2020 على الأقل، وقد استهدفت علاقات الطرف الثالث الموثوقة لنشر برمجيات خبيثة والحصول على وصول أولي. وقد ارتبطت هذه المجموعة سابقاً بعملية اختراق سلسلة التوريد لتطبيق دردشة يُعرف باسم Comm100 في سبتمبر 2022.
من الجدير بالذكر أن هناك تقارير تشير إلى احتمالية تورط مقاول تجسس صيني، يُدعى I-Soon، في هجوم سلسلة التوريد هذا، وذلك بسبب تداخل البنية التحتية. وبشكل مثير للاهتمام، ركزت الهجمات التي شنتها المجموعة في عام 2023 بشكل أساسي على ضحايا يتحدثون اللغة الصينية، مما قد يشير إلى عمليات مراقبة محلية.
آثار الاستغلال السريع للثغرات
أفادت أمازون بأنها رصدت أيضاً محاولات من الجهات الفاعلة لاستغلال ثغرة 2025-55182 جنباً إلى جنب مع ثغرات أخرى معروفة. وتشمل هذه الثغرات ثغرة في كاميرات NUUO (CVE-2025-1338)، مما يشير إلى جهود أوسع نطاقاً لفحص الإنترنت بحثاً عن الأنظمة غير المصححة.
تتضمن الأنشطة المرصودة محاولات لتنفيذ أوامر اكتشاف (مثل whoami)، وكتابة ملفات (مثل “/tmp/pwned.txt”)، وقراءة ملفات تحتوي على معلومات حساسة (مثل “/etc/passwd”).
قال سي. جيه. موسيس، الرئيس التنفيذي لأمن المعلومات في أمازون إنترجرافد سيكيوريتي، إن هذا يوضح نهجاً منظماً: “تراقب الجهات الفاعلة إفصاحات الثغرات الجديدة، وتدمج بسرعة استغلالات عامة في بنيتها التحتية للمسح، وتجري حملات واسعة عبر العديد من الثغرات الأمنية الشائعة (CVEs) في وقت واحد لزيادة فرصها في العثور على أهداف ضعيفة”.