React2Shell-Exploits erreichen eine neue Komplexitätsstufe

Die jüngsten Erkenntnisse des Sysdig Threat Research Teams zeigen deutlich: React2Shell-Exploits werden komplexer – und traditionelle Schutzmechanismen stoßen an ihre Grenzen.

Nur zwei Tage nach Veröffentlichung von CVE-2025-55182, einer kritischen Schwachstelle in React Server Components (RSCs), die Remote-Code-Ausführung ermöglicht, stieß das Team am 5. Dezember 2025 auf ein neues, höchst ungewöhnliches Implantat. Es wurde aus einer kompromittierten Next.js-Anwendung extrahiert und unterscheidet sich deutlich von den bisher bekannten Payloads wie Kryptominern oder Credential-Stealern.

Der nun identifizierte Schadcode – EtherRAT – ist deutlich raffinierter: ein dauerhaftes Zugriffsimplantat, das Techniken aus mindestens drei bekannten Angriffskampagnen vereint und eine bislang undokumentierte Angriffskette nutzt. Damit setzt EtherRAT einen neuen Maßstab dafür, wie weit Angreifer bereit sind zu gehen, um moderne Web-Stacks zu kompromittieren.

EtherRAT nutzt Ethereum-Smart-Contracts für die Command-and-Control-Auflösung (C2), setzt fünf unabhängige Linux-Persistenzmechanismen ein und lädt seine eigene Node.js-Laufzeitumgebung von nodejs.org herunter. Diese Kombination von Fähigkeiten wurde bisher bei React2Shell-Exploits nicht beobachtet. Die Analyse des Sysdig TRT zeigt erhebliche Überschneidungen mit dem mit Nordkorea in Verbindung stehenden Tool „Contagious Interview“, was darauf hindeutet, dass entweder Akteure aus der Demokratischen Volksrepublik Korea (DVRK) auf die Ausnutzung von React2Shell umgestiegen sind oder dass ein ausgeklügelter Austausch von Tools zwischen nationalstaatlichen Gruppen stattfindet.

„Wir haben EtherRAT mithilfe von Cloud-Runtime-Security abgefangen. Dabei kann man verfolgen, was während verschiedenen Prozessen tatsächlich passiert – nicht nur vage Netzwerkverkehrssignale interpretieren oder potenzielle IOCs erspähen. Ein Webserver beispielsweise, der Bash zum Herunterladen von Skripten startet? Das ist dank Laufzeitsicherheit eindeutig erkennbar. Änderungen von systemd und cron aus einem Node.js-Prozess heraus? Das ist ebenfalls erkennbar,“ erklärt Sergej Epp, CISO bei Sysdig . „Wenn man keine Sicherheitsmaßnahmen auf Kernel-Ebene einsetzt, hofft man, dass Angreifer schlampig genug sind, um die Perimeter-Abwehr auszulösen. Taktiken wie EtherRAT sind jedoch leider alles andere als schlampig.“

Das unterscheidet EtherRAT:

• Übertragungsvektor: React2Shell-Exploit statt gefälschter Stellenanzeigen als Köder.
• C2-Mechanismus: Blockchain-basiert statt fest codiert.
• Persistenz: Deutlich aggressiver als die dokumentierten Contagious Interview-Payloads.
• Keine Erfassung von Anmeldedaten: Im Gegensatz zu BeaverTail/InvisibleFerret enthält EtherRAT keinen Code zum Auslesen von Kryptowährungs-Wallets.

Die Google Threat Intelligence Group (GTIG) hat kürzlich die Verwendung der BeaverTail-Malware und blockchainbasierter C2-Techniken dem mit Nordkorea in Verbindung stehenden Bedrohungsakteur UNC5342 zugeordnet. Ohne direkte Code-Überschneidungen kann Sysdig jedoch nicht bestätigen, dass es sich bei dem Bedrohungsakteur hinter EtherRAT um denselben handelt. Angesichts einiger der oben aufgeführten wesentlichen Unterschiede könnte es sich hierbei um gemeinsame Techniken mehrerer mit Nordkorea verbundener Bedrohungsgruppen handeln.

Alternativ dazu ist es möglich, dass Akteure aus Nordkorea React2Shell als neuen Initialzugriffsvektor übernommen haben, während ein anderer hochentwickelter Akteur Techniken aus mehreren dokumentierten Kampagnen kombiniert, um die Zuordnung zu erschweren.

Empfehlungen zur Risikominderung und Reaktion

Organisationen, die RSCs oder Next.js einsetzen, sollten unverzüglich Maßnahmen ergreifen:

• Sofortiges Patchen: Aktualisierung von React auf Version 19.2.1 oder höher und Next.js auf gepatchte Versionen. Nach der Aktualisierung sind die Anwendungen neu zu erstellen und erneut bereitzustellen.
• Suche nach Persistenz: Überprüfung aller Systeme, die möglicherweise gefährdet waren, auf nicht autorisierte systemd-Benutzerdienste, XDG-Autostart-Einträge, Cron-Jobs und Änderungen an bashrc/profile.
• Überwachung des Ethereum-RPC-Datenverkehrs: Ungewöhnliche ausgehende Verbindungen zu öffentlichen Ethereum-RPC-Endpunkten von Webanwendungsservern sollten untersucht werden.
• Implementierung einer Laufzeiterkennung: Da signaturbasierte Erkennung gegen Malware, die ihren eigenen Code aktualisiert, unwirksam ist, ist die Erkennung von Laufzeitbedrohungen für die Identifizierung dieser Art von Implantaten von entscheidender Bedeutung.
• Überprüfung der Anwendungsprotokolle: Suche nach Hinweisen auf React2Shell-Exploit-Versuche – insbesondere ungewöhnliche POST-Anfragen an RSC-Endpunkte mit fehlerhaften Payloads.
• Wechsel der Anmeldedaten: Bei Verdacht auf eine Kompromittierung sind alle Anmeldedaten auszutauschen, auf die vom betroffenen System aus zugegriffen werden kann (einschließlich Cloud-Anbieter-Token, API-Schlüssel und SSH-Schlüssel).

Fazit: Was EtherRAT für React2Shell und zukünftige Bedrohungen bedeutet

EtherRAT stellt eine bedeutende Weiterentwicklung der React2Shell-Exploits dar, die über opportunistisches Cryptomining und den Diebstahl von Anmeldedaten hinausgeht und einen dauerhaften, heimlichen Zugriff für langfristige Operationen ermöglicht. Die Kombination aus blockchainbasiertem C2, aggressiver Multi-Vektor-Persistenz und einem Mechanismus zur Aktualisierung der Payload zeugt von einer Komplexität, die bisher bei React2Shell-Payloads nicht zu beobachten war.

Die Überschneidung mit den „Contagious Interview”-Tools der DVRK wirft wichtige Fragen hinsichtlich der Zuordnung und der gemeinsamen Nutzung von Tools zwischen den Bedrohungsakteuren auf. Unabhängig davon, ob dies einen Wechsel nordkoreanischer Akteure zu neuen Exploit-Vektoren oder die Übernahme ausgefeilter Techniken durch einen anderen Akteur darstellt, ist das Ergebnis dasselbe: Verteidiger sehen sich mit einem neuen, anspruchsvollen Implantat konfrontiert, das sich herkömmlichen Erkennungs- und Beseitigungsmethoden widersetzt.

Die zunehmende Häufigkeit von Schwachstellen auf Supply-Chain- und Framework-Ebene, von Log4Shell bis React2Shell, macht die Erkennung von Bedrohungen zur Laufzeit wichtiger denn je. Da Angreifer nun Techniken aus mehreren Kampagnen kombinieren und ihre Payloads dynamisch modifizieren können, können sich Unternehmen nicht mehr ausschließlich auf signaturbasierte Erkennung oder das Blockieren von IOCs verlassen. Runtime-Security in Echtzeit bleibt die zuverlässigste Verteidigung gegen diese sich ständig weiterentwickelnde Bedrohungslandschaft.