کمیته رکن چهارم– دو گروه هکری مرتبط با دولت چین، تنها چند ساعت پس از افشای عمومی آسیبپذیری بحرانی React2Shell با شناسه CVE-2025-55182، اقدام به بهرهبرداری از آن کردهاند. این نقص که بالاترین امتیاز خطر یعنی ۱۰ از ۱۰ را دریافت کرده، امکان اجرای کد از راه دور بدون نیاز به احراز هویت را برای مهاجم فراهم میکند.
به گزارش کمیته رکن چهارم، طبق اعلام Amazon Web Services، این دو گروه با نامهای Earth Lamia و Jackpot Panda در حال بهرهبرداری از این آسیبپذیری هستند. بررسیهای زیرساخت هانیپات AWS نشان میدهد این حملات از سوی IPها و سرورهایی با ارتباط دولتی در چین انجام شدهاند. Earth Lamia پیشتر در حملاتی علیه آسیبپذیری SAP NetWeaver فعال بوده و نهادهای مالی، دانشگاهی، دولتی و فناوری در آمریکای لاتین، خاورمیانه و جنوب شرق آسیا را هدف قرار داده است.
گروه Jackpot Panda نیز که از سال ۲۰۲۰ فعالیت دارد، سازمانهای مرتبط با صنعت قمار آنلاین را در شرق و جنوب شرق آسیا هدف قرار داده و در سالهای اخیر از بدافزارهایی مانند XShade و ابزار CplRAT استفاده کرده است. این گروه با آلودهسازی برنامههایی مانند Comm100 و CloudChat، مسیر دسترسی به اهداف خود را هموار کرده است.
در حملات مشاهدهشده، دستورات پایهای مانند whoami اجرا شده و فایلهایی مانند /etc/passwd مورد دسترسی قرار گرفتهاند. همچنین گروهها در کنار این آسیبپذیری از نقصهایی نظیر CVE-2025-1338 نیز بهرهبرداری کردهاند. این روند نشاندهنده سرعت بالای واکنش مهاجمان دولتی به افشای عمومی آسیبپذیریهاست.
همزمان، اختلالی کوتاه در سرویس Cloudflare نیز رخ داد که به دلیل تغییرات فنی در واکنش به آسیبپذیری React ایجاد شده بود. طبق اعلام شرکت، این اختلال ناشی از اقدامات پیشگیرانه بوده و جنبه تهاجمی نداشته است. این وقایع، تأکیدی است بر لزوم بهروزرسانی فوری سیستمهای آسیبپذیر و نظارت مداوم بر تهدیدات نوظهور در فضای سایبری.
