ZnDoor é um trojan de acesso remoto (RAT) para Linux que está sendo distribuído em ataques que exploram a falha React2Shell (CVE-2025-55182) em aplicações React/Next.js, principalmente contra organizações japonesas, dando aos invasores controle persistente sobre dispositivos de rede.
Corrente de ataque com React2Shell
Os ataques começaram com a exploração do React2Shell, uma vulnerabilidade de RCE não autenticada em React Server Components/Next.js que permite executar comandos arbitrários com uma única solicitação HTTP. Em vez de apenas instalar miners (como ondas iniciais dessa campanha), os operadores usam o exploit para rodar um comando de shell que baixa e executa o ZnDoor a partir do servidor 45.76.155.14.
O comando é executado via /bin/shgeralmente usando ferramentas padrão (por exemplo, curl ou wget) para puxar o binário malicioso e iniciá-lo em segundo plano. A partir desse ponto, a máquina passa a se comunicar de forma contínua com o C2 api.qtss.cc:443estabelecendo o backdoor.
Funcionalidades e C2 do ZnDoor
ZnDoor é um RAT completo voltado para controle remoto e uso como ponto de pivô na rede. Logo após a infecção, ele envia beacons a cada segundo para o servidor de comando e controle, incluindo informações sobre o host: endereços de rede, hostname, usuário logado e PIDs de processos.
O endereço e a porta do C2 são armazenados em configuração ofuscada: primeiro codificados em Base64 e depois criptografados com AES‑CBC, reduzindo a chance de detecção em simples inspeções estáticas. O canal HTTP(s) permite que o operador envie comandos para:
- executar shell interativo;
- listar diretórios e manipular arquivos;
- fazer enumeração de sistema;
- ative um proxy SOCKS5 para sintonização de tráfego pela máquina comprometida.
Os comandos usam um formato com delimitadores de “duplo hash” (##) para separar campos, facilitando a análise pelo implante.
Técnicas de evasão e persistência
O ZnDoor foi projetado para se esconder em ambientes Linux e de rede. Ele utiliza falsificação de nome de processoadotando nomes semelhantes aos processos legítimos do sistema, o que dificulta a identificação visual em ferramentas como ps ou monitores de processos.
Além disso, o malware altera timestamps de arquivos para a fixação de dados de 15 de janeiro de 2016, uma técnica de timestomping voltada para confundir análises forenses de linha do tempo. Também implementa mecanismos de auto‑reinício via processos filho, garantindo que, se uma instância for encerrada, fora de seu lugar, o que complica a remoção manual e a engenharia reversa.
Implicações e recomendações
A descoberta da cadeia React2Shell → ZnDoor por analistas da NTT mostra que os ataques migraram rapidamente de mineradores simples para backdoors sofisticados com foco em infraestrutura de rede. Para organizações com aplicações React/Next.js expostas, isso significa que a exploração do CVE‑2025‑55182 pode resultar não apenas no uso de CPU, mas em comprometimento profundo da rede interna.
Medidas prioritárias incluem:
- aplique imediatamente os patches do React/Next.js para fechar o React2Shell;
- caçar evidências de comandos de download de
45.76.155.14e conexões paraapi.qtss.cc:443; - Monitorar por processos Linux suspeitos com nomes de sistema, mas origem/timestamps anômalos (especialmente com dados inseridos em 2016)
