#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostPoster вредоносное ПО целевые пользователи Firefox через вредоносные расширения браузера, бесплатный VPN Навсегда, которая служит загрузчик для загрузки фактический вредоносное ПО грузоподъемностью от управление сервером. После запуска он перехватывает партнерские ссылки на основных платформах электронной коммерции, перехватывая комиссионные, одновременно вводя код отслеживания для сбора пользовательских данных и используя методы обхода защиты от CAPTCHA. Кампания иллюстрирует тенденцию вредоносных бесплатных VPN расширений эксплуатируя уязвимости, затрагивающие около 50 000 пользователей.
-----

Вредоносная Кампания GhostPoster нацелена на пользователей Firefox с помощью серии обманчивых тактик, которые используют кажущиеся безобидными расширения браузера, в частности одно под названием Free VPN Forever. Начальный этап включает в себя загрузку расширением файла своего логотипа, который вместо этого содержит вредоносный загрузчик. Этот загрузчик предназначен для извлечения фактической полезной нагрузки вредоносного ПО с сервера управления (C&C). Сама полезная нагрузка скрыта, используя пользовательскую схему кодирования, чтобы избежать обнаружения во время передачи.

После расшифровки и выполнения полезная нагрузка превращает браузер в инструмент для монетизации активности пользователей без их согласия. Вредоносное ПО специально перехватывает партнерские ссылки на крупных платформах электронной коммерции, таких как Taobao и JD.com . Когда пользователи переходят по этим ссылкам, вредоносное ПО перехватывает трафик, эффективно отбирая любые комиссионные, предназначенные для законных партнеров, и перенаправляя их злоумышленникам.

Более того, GhostPoster вводит код отслеживания Google Analytics на каждую посещенную веб-страницу, собирая подробную информацию о привычках пользователя в интернете и продолжительности заражения. Он удаляет заголовки безопасности из HTTP-ответов, еще больше нарушая целостность сайта, и использует множество методов для обхода защиты с помощью CAPTCHA. Это включает в себя имитацию пользовательских взаимодействий и использование внешних ресурсов для распознавания капчи.

Вредоносное ПО также внедряет скрытые iframe-файлы из доменов, контролируемых злоумышленниками, что позволяет широко использовать мошенничество с рекламой и кликами, сохраняя видимость нормальной работы браузеров пользователей. Примечательно, что платформа, лежащая в основе GhostPoster, не уникальна; были выявлены аналогичные кампании вредоносных расширений, связанные с этой инфраструктурой атаки, которая включает в себя по меньшей мере 16 других расширений, использующих те же серверы C&C.

Этот инцидент подчеркивает повторяющуюся тенденцию, когда бесплатные расширения VPN становятся вредоносными, предлагая план будущих угроз. Используемые методы уклонения, такие как Стеганография для сокрытия полезной нагрузки и сложные механизмы отслеживания, отражают растущую оперативную изощренность злоумышленников. Уязвимости, присущие расширениям браузера, были использованы для содействия значительному нарушению, воздействие на которое оказало около 50 000 пользователей, скачавших скомпрометированное программное обеспечение, которое остается доступным на рынке дополнений Firefox.

#ParsedReport #CompletenessMedium
18-12-2025

ResidentBat: A new spyware family used by Belarusian KGB

https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf

Report completeness: Medium

Threats:
Residentbat
Novispy
Massistant_tool
Monokle
Screen_shotting_technique

Victims:
Journalists, Lawyers, Civil society

Geo:
Belarusian, Belarussian, Switzerland, Belarus

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1105, T1123, T1204.002

IOCs:
File: 14
Hash: 10
Url: 6
IP: 25
Domain: 2

Soft:
Android, android.chrome, instagram.android, viber, whatsapp, firefox, telegram, zoom, Google Play, Chrome, have more...

Algorithms:
sha256

Functions:
removeActiveAdmin

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ResidentBat - это семейство шпионских программ, используемых белорусским КГБ, специально предназначенных для устройств Android с помощью физического доступа, а не удаленных эксплойтов. Он собирает конфиденциальные данные, включая звонки и сообщения, запрашивая обширный список разрешений. В отличие от традиционных программ-шпионов, ResidentBat не выходит из "песочницы" Android, функционируя аналогично stalkerware, и создает значительные риски для конфиденциальности из-за своих методов установки и конфигураций C2, которые облегчают удаленное общение.
-----

ResidentBat - это недавно выявленное семейство шпионских программ, используемых белорусским КГБ и нацеленных в первую очередь на устройства Android. Это шпионское ПО тайно собирает различные формы данных, включая телефонные звонки, SMS-сообщения и зашифрованные разговоры в чате, что достигается с помощью физического доступа к устройству, а не удаленных эксплойтов. Шпионское ПО устанавливается в виде стандартного APK-файла и отличается тем, что запрашивает у пользователей 38 разрешений, некоторые из которых являются конфиденциальными и обеспечивают широкий доступ к данным, включая разрешения во время выполнения.

Технический анализ показывает, что ResidentBat работает без использования уязвимостей для выхода из "песочницы" приложений Android, позиционируя его аналогично stalkerware, что вызывает серьезные опасения по поводу конфиденциальности, несмотря на более низкие затраты на разработку по сравнению с традиционными программами-шпионами, которые напрямую используют системные недостатки. Его структура включает в себя различные компоненты, объявленные в файле AndroidManifest, такие как действия и службы, которые могут отслеживать конфиденциальные пользовательские данные.

Во время задокументированного инцидента в третьем квартале 2025 года сотрудники КГБ допросили журналиста, который, как сообщается, попросил их положить свой телефон в запертый отсек. Последующее извлечение телефона вызвало опасения по поводу присутствия шпионского ПО, особенно учитывая, что сертификат приложения был действителен только в будущем, что было необычной характеристикой, которая не препятствовала установке. Судебно-медицинский анализ также выявил следы, оставленные на устройстве, такие как новые ключи ADB, что указывает на вероятную подделку.

Жителям и правозащитникам рекомендуется принимать упреждающие меры безопасности для предотвращения несанкционированного доступа и установки шпионских программ, например, сохранять PIN-коды своих устройств и использовать устройства, отключающие боковую загрузку приложений. Кроме того, были выпущены индикаторы компрометации, помогающие пользователям выявлять потенциальные заражения с помощью Mobile Verification Toolkit (MVT), который предназначен для обнаружения экземпляров шпионского ПО и помогает людям оценить степень риска.

Механизмы командования и контроля (C2) ResidentBat включают в себя конкретные конфигурации серверов, предназначенные для удаленной связи, хотя дополнительные технические подробности, касающиеся C2, не разглашаются для защиты конфиденциальных эксплуатационных аспектов. Обнаружение множества образцов резидентных летучих мышей подчеркивает необходимость постоянного мониторинга и бдительности в отношении таких возникающих угроз в цифровом ландшафте.

#ParsedReport #CompletenessMedium
16-12-2025

React2Shell used as initial access vector for Weaxor ransomware deployment

https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment

Report completeness: Medium

Threats:
React2shell_vuln
Weaxor
Targetcompany
Cobalt_strike_tool
Shadow_copies_delete_technique

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.001, T1059.003, T1070.001, T1071.001, T1082, T1105, T1190, have more...

IOCs:
File: 9
Url: 1
IP: 7

Soft:
Microsoft SQL, Windows Defender, Node.js

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с программой-вымогателем Weaxor подчеркивает использование уязвимости React2Shell (CVE-2025-55182) в серверных компонентах React и Next.js , позволяющий злоумышленникам выполнять произвольный код с помощью вредоносных HTTP-запросов. Злоумышленники быстро перешли от шпионажа к внедрению программ-вымогателей, используя запутанную команду PowerShell и Cobalt Strike для управления. Индикаторы компрометации, связанные с атакой, такие как хэши SHA-1 и IP-адреса C2, подчеркивают необходимость проявлять бдительность в отношении быстрого использования после раскрытия уязвимостей.
-----

Инцидент, связанный с развертыванием программы-вымогателя Weaxor, свидетельствует об использовании уязвимости React2Shell (CVE-2025-55182). Эта критическая уязвимость затрагивает серверные компоненты React и программное обеспечение с открытым исходным кодом Next.js рамки. Это позволяет злоумышленнику отправлять вредоносные HTTP-запросы, которые могут выполнять произвольный код на сервере, тем самым получая привилегированный доступ к системе, в которой запущен веб-сервер.

После публичного раскрытия уязвимости React2Shell 3 декабря 2025 года злоумышленники, включая акторов национальных государств, в течение нескольких часов начали поиск возможностей для использования. В то время как некоторые были сосредоточены на шпионаже путем установки постоянных бэкдоров, финансово мотивированные акторы быстро переключили свое внимание на внедрение Ransomware. Штамм программы-вымогателя Weaxor, ребрендинг ранее известной программы-вымогателя Mallox, был идентифицирован как полезная нагрузка, использованная в этом инциденте.

Цепочка атак началась с компрометации корпоративной сети 5 декабря 2025 года. Запутанная команда PowerShell была выполнена злоумышленником, установившим командование и контроль с помощью загрузки программы Cobalt Strike PowerShell stager. После этого злоумышленник отключил защиту антивируса Windows Defender в режиме реального времени, чтобы облегчить дальнейшие действия, указывая на подготовку к дополнительным полезным нагрузкам.

Были выявлены признаки компрометации, связанные с использованием React2Shell, включая появление cmd.exe и powershell.exe процессы, исходящие от законного Node.js исполняемый файл, node.exe . Этот анализ указывает на высокую вероятность того, что предыдущие действия по обнаружению были замаскированы из-за очистки журналов событий, совпадающей с развертыванием программы-вымогателя.

Кроме того, были задокументированы конкретные показатели, включая определенные хэши SHA-1 и связанные с ними IP-адреса командования и контроля (C2), использованные во время атаки Weaxor. Наличие этих показателей служит для правозащитников важнейшим доказательством для мониторинга и потенциального смягчения подобных попыток эксплуатации в будущем. Быстрый переход от раскрытия уязвимостей к внедрению программ-вымогателей подчеркивает настоятельную необходимость для организаций усилить свою защиту от вновь выявленных уязвимостей и автоматизировать меры обнаружения и реагирования.

#ParsedReport #CompletenessLow
16-12-2025

Meet Cellik - A New Android RAT With Play Store Integration

https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration

Report completeness: Low

Threats:
Cellik
Hyperrat
Phantomos
Nebula

Victims:
Mobile users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1513, T1516, T1566

Soft:
Android, Google Play, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cellik - это недавно идентифицированный троян для удаленного доступа к Android (RAT), который позволяет злоумышленникам осуществлять полный контроль над зараженными устройствами, включая такие функции, как потоковая передача экрана в режиме реального времени и манипулирование пользовательским интерфейсом. Его скрытые возможности браузера создает дополнительные риски за счет облегчения фишинг и других веб нарушений. Интеграция с Google магазин игры позволяет злоумышленникам создавать обманчивое APK-файлы, которые выглядят законными, представляющих тревожная тенденция, когда вредоносное ПО-а-а-сервис, который демократизирует доступ к самым современным мобильным шпионов для низкоквалифицированных актеров.
-----

Cellik является вновь открывшимся для Android троян удаленного доступа (RAT), что создает значительные проблемы безопасности вследствие своей полной функции управления устройствами и интеграцию с Google играть магазин. После установки, Cellik обеспечивает оператору полный контроль над зараженным устройством, в том числе и потоковая передача в реальном времени экрана и возможность удаленно управлять пользовательским интерфейсом. Это эффективно позволяет злоумышленнику получить контроль над деятельностью жертвы в реальном времени при имитации пользовательского ввода, как если бы они были физически взаимодействуя с телефона.

Важной особенностью Cellik является его скрытая функция браузера, которая облегчает активное использование веб-ресурсов и попытки фишинга непосредственно с зараженного устройства. Он запускает невидимый браузер, который может быть использован для различных вредоносных действий, повышая риск для жертв.

Более того, особую тревогу вызывает интеграция Cellik с Google Play Store. Он включает в себя автоматизированный конструктор APK, который позволяет злоумышленникам выбирать законные приложения из Play Store и упаковывать их с полезной нагрузкой Cellik. Эта функция позволяет создавать вредоносные APK-файлы, которые выглядят как подлинные приложения, что затрудняет жертвам идентификацию скрытого внутри вредоносного ПО. Простота создания этих вредоносных приложений значительно расширяет возможности распространения RAT.

Cellik представляет собой относительно тренда в вредоносное вредоносное ПО Андроид, который характеризуется ростом вредоносное ПО-как-услуга (Маас) платформ. Такие сервисы позволить даже низкоквалифицированный злоумышленникам проводить мобильного шпионских операций с минимальными техническими знаниями. Этот сдвиг показывает, что сложные киберугрозы становятся все более доступными для широкого круга злоумышленниками, тем самым эскалации общий ландшафт угроз мобильной безопасности.

#ParsedReport #CompletenessHigh
19-12-2025

APT36 LNK-BASED MALWARE CAMPAIGN LEVERAGING MSI PAYLOAD DELIVERY

https://www.cyfirma.com/research/apt36-lnk-based-malware-campaign-leveraging-msi-payload-delivery/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Spear-phishing_technique

Victims:
Government organizations

Industry:
Government

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 5
Command: 1
Path: 3
Domain: 2
Url: 1
Hash: 5

Soft:
WhatsApp

Algorithms:
sha256, base64

Functions:
PDfiums, DllOrigias, dropHijackDll, ExeDrips, Pensisting

Languages:
powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-36 проводит нацеленную Вредоносную Кампанию, используя тактику социальной инженерии для компрометации систем Windows, в первую очередь с помощью вредоносного файла быстрого доступа, Маскировки под правительственный консультативный PDF-файл. Вектор заражения предоставляет загрузчик на базе .NET, который развертывает вредоносные библиотеки DLL и поддерживает закрепление с помощью изменений реестра. Вредоносное ПО также использует DLL hijacking и выполняет различные команды, подчеркивая возможности APT-36, связанные с сложными целенаправленными угрозами, при этом для обнаружения предусмотрены специальные IOCS.
-----

Недавний анализ выявил нацеленную Вредоносную Кампанию, связанную с злоумышленником APT-36, который использует тактику социальной инженерии для проникновения в системы Windows. Операция предполагает использование вредоносного файла быстрого доступа Windows, замаскированного под правительственный консультативный PDF-файл, который служит первоначальным источником заражения. Этот метод использует поведение Windows по умолчанию, заключающееся в сокрытии расширений файлов, что способствует успешному уклонению от подозрений пользователя.

Как только вредоносный ярлык открывается, он запускает доставку скрытой полезной нагрузки MSI, что приводит к запуску загрузчика на основе .NET. Этот загрузчик предназначен для развертывания вредоносных библиотек DLL в системе жертвы, тем самым обеспечивая закрепление путем внесения изменений в реестр. Подход злоумышленника отражает глубокое понимание нацеленного шпионажа, который, вероятно, нацелен на правительственные организации.

Анализ также показывает, что вредоносное ПО может использовать методы DLL hijacking и выполнять различные команды, что указывает на ряд возможностей, схожих с теми, которые ожидаются от сложных целенаправленных угроз. Кроме того, в кампании используется внешняя инфраструктура, что означает, что атака организуется из внешнего источника, не полагаясь на исходные системные уязвимости для проникновения.

Отчет включает в себя правила YARA, подробно описывающие конкретные подписи, связанные с этой кампанией, и предоставляющие средства для обнаружения на основе выявленных индикаторов компрометации (IOCs). Эти IOCS включают конкретные имена файлов, такие как "NCERT-Whatsapp-Advisory.pdf.lnk", и домены, такие как "wmiprovider.com", которые имеют решающее значение для усиления мер защиты от этой конкретной угрозы.

Таким образом, кампания APT-36 демонстрирует сочетание социальной инженерии и технологической изощренности, используя поддельные документы и скрытное развертывание полезной нагрузки для эффективного компрометирования нацеленных сред. Операция подчеркивает сохраняющуюся угрозу, исходящую от APT-группировок, которые умело используют основанные на доверии приманки и возможности вредоносного ПО для достижения своих целей.

#ParsedReport #CompletenessLow
15-12-2025

GhostPairing Attacks: from phone number to full access in WhatsApp

https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack

Report completeness: Low

Threats:
Ghostpairing_technique

Victims:
Whatsapp users

Geo:
Czechia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1566.002

IOCs:
Domain: 7

Soft:
WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Нападение GhostPairing подвиги связь устройств особенностью WhatsApp, позволяющую злоумышленникам получить несанкционированный доступ к аккаунтам пользователей с помощью номеров телефонов и кодов сопряжения похож на двухфакторную аутентификацию. Изначально появившись в Чехии, взломанные аккаунты, отправлять обманные сообщения со ссылками на поддельные страницы, имитирующие Facebook, запросы пользователей, чтобы проверить их личности. Этот метод атаки использует налаженные взаимоотношения пользователей, с указанием организованных усилий по субъектам опасным и предполагая, что подобные уязвимости могут существовать в механизмах сопряжения других платформ.
-----

Атака GhostPairing - это серьезная киберугроза, которая использует функцию привязки устройств WhatsApp, позволяя злоумышленникам получать несанкционированный доступ к учетным записям пользователей. Первоначально эта кампания появилась в Чехии, где скомпрометированные аккаунты отправляли контактам вводящие в заблуждение сообщения, обычно содержащие ссылку на фотографию, которая, по-видимому, отображалась как элемент Facebook в WhatsApp. Когда пользователи переходили по этим ссылкам, они попадали на минималистичную веб-страницу с логотипом Facebook, что наводило их на мысль, что для доступа к контенту им необходимо подтвердить свою личность.

В контексте переходного процесса в WhatsApp злоумышленники используют более сложный метод, связанных телефонных номеров, и коды, которые более тесно связаны с двухфакторной протоколы проверки подлинности. Этот метод является особенно опасным, так как он позволяет обойти традиционные меры безопасности без необходимости красть пароли или перехватить сообщения. Как только пользователь устройства связан, атакующему получить полный доступ эквивалентна любой легальный пользователь, используя WhatsApp Web и, таким образом предоставляя им возможность совершать различные противозаконные действия.

Что повышает эффективность кампании по поиску призраков, так это ее опора на установившееся доверие среди пользователей. Вместо рассылки спама потенциальным жертвам злоумышленники используют связи, уже присутствующие в списках контактов пользователей. Это создает ощущение знакомости и безопасности, что способствует распространению мошенничества. Кроме того, показатели указывают на то, что злоумышленники-акторы могут использовать многоразовый инструментарий, что указывает на организованное злоупотребление, а не на изолированные атаки.

Последствия атаки GhostPairing выходят за рамки одного только WhatsApp, указывая на более широкую тенденцию, когда аналогичным образом могут использоваться механизмы сопряжения устройств на различных платформах. Как показывает эта атака, меры безопасности должны эволюционировать, чтобы справляться со сложными манипуляциями с законными функциями в приложениях, подчеркивая необходимость повышенной бдительности при защите целостности учетных записей пользователей.

#ParsedReport #CompletenessLow
22-12-2025

UEFI Firmack Flaw Bypasses Early-Boot DMA Protections

https://www.secureblink.com/cyber-security-news/uefi-firmack-flaw-bypasses-early-boot-dma-protections

Report completeness: Low

TTPs:
Tactics: 7
Technics: 7

Soft:
Linux

Functions:
EnableDmaProtection, Get-WmiObject

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость в прошивке UEFI связана с неправильной инициализацией модуля управления памятью ввода-вывода (IOMMU), что позволяет злоумышленникам, имеющим физический доступ, использовать вредоносные устройства PCIe для чтения и записи в системную память. Этот недостаток, возникающий из-за невозможности вызова функции EnableDmaProtection(), обеспечивает управление с высокими привилегиями и потенциальное внедрение буткитов или манипулирование точками входа в ядро. Идентифицированная как уязвимость CERT/CC, примечание VU#382314, она представляет значительные риски, особенно для общедоступных систем.
-----

В различных реализациях прошивки UEFI была выявлена критическая уязвимость, которая ставит под угрозу безопасность, обеспечиваемую модулем управления памятью ввода/вывода (IOMMU) на ранней стадии загрузки. Этот недостаток возникает из-за невозможности надлежащим образом инициализировать IOMMU, который предназначен для управления транзакциями прямого доступа к памяти (DMA) с устройств PCIe для предотвращения несанкционированного доступа к системной памяти. Без инициализации IOMMU злоумышленник, имеющий физический доступ, может развернуть вредоносное PCIe-устройство для свободного чтения и записи в системную память, потенциально извлекая конфиденциальную информацию или внедряя постоянные буткиты.

Специфика уязвимости связана с невозможностью вызова функции EnableDmaProtection() в коде UEFI. Злоумышленники-акторы могут воспользоваться этим, используя доступное программируемое Аппаратное обеспечение PCIe для создания устройства с поддержкой DMA, которое затем может изменять критически важные системные компоненты в памяти, эффективно получая контроль на высоком уровне привилегий. Это позволяет злоумышленникам вводить полезные данные в загрузчик операционной системы или манипулировать точками входа в ядро, не обнаруживаемыми стандартными мерами безопасности.

Исследование этой уязвимости, обозначенной как CERT /CC Vulnerability Note VU#382314, было инициировано исследователями Riot Games, а публичная информация была опубликована в конце декабря 2025 года. Поскольку многие поставщики Аппаратного обеспечения начинают устранять этот недостаток с помощью обновлений прошивки, администраторам важно отслеживать рекомендации поставщиков и оперативно применять исправления.

Что касается обнаружения, организации могут проводить аудит, используя такие инструменты, как fwupdmgr в Linux или другие инструменты CLI конкретного производителя, для обеспечения соответствия прошивки. Кроме того, системы, в которых параметры переназначения IOMMU/DMA включены, но неактивны, следует исследовать с помощью запросов PowerShell. Для смягчения последствий основной рекомендацией является обновление прошивки от соответствующих поставщиков Аппаратного обеспечения, наряду с мерами по ограничению физического доступа к системам, чтобы снизить риск атаки DMA.

Эта уязвимость создает значительные риски для безопасности, особенно затрагивая системы, которые являются общедоступными или расположены в небезопасных средах, что требует немедленных действий по внедрению эффективных исправлений и усилению протоколов физической безопасности вокруг критически важных компонентов Аппаратного обеспечения.

#ParsedReport #CompletenessLow
20-12-2025

Original Paper \| React2Shell Exploit Analysis Report

https://www.ctfiot.com/287795.html

Report completeness: Low

Threats:
React2shell_vuln

Victims:
Technology sector

Geo:
China, Germany

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1210

IOCs:
File: 4
Hash: 5

Soft:
curl, busybox, WeChat

Languages:
javascript, java

Platforms:
x64, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4