Resumo e descoberta
Pesquisadores da NTT Security identificaram o ZnDoor, um trojan de acesso remoto (RAT) entregue após a exploração da vulnerabilidade conhecida como React2Shell (CVE-2025-55182). A análise aponta que o artefato vem sendo usado para alcançar persistência em dispositivos de rede e sistemas comprometidos, com atividade rastreada possivelmente desde dezembro de 2023.
O que mudou agora / escopo
O relatório técnico descreve uma cadeia de ataque que começa com a exploração de React2Shell para executar um comando shell que baixa e executa o ZnDoor a partir de servidores externos (ex.: 45.76.155.14) e, em seguida, estabelece comunicação com um servidor de comando e controle em api.qtss.cc:443. A configuração do C2 e porta é cifrada (Base64 + AES-CBC) no binário, dificultando inspeção direta.
Vetor e exploração / capacidades do malware
ZnDoor opera como um RAT completo. Após a execução inicial, o malware envia beaconing por HTTP POST a cada segundo com informações do sistema (endereços de rede, hostname, usuário, PIDs) e aceita comandos para operações de arquivo, execução de shell, enumeração e ativação de proxy SOCKS5. O protocolo de comandos utiliza um delimitador de duplo-hash para depacotar instruções que incluem spawn de shell interativo, listagem de diretório e manipulação de arquivos.
Mitigações e detecção
- Monitorar conexões HTTP/HTTPS para domínios e IPs indicados (ex.: api.qtss.cc e 45.76.155.14).
- Inspecionar processos com nomes suspeitos (o ZnDoor utiliza spoofing de nome de processo) e serviços que reiniciam automaticamente via filhos.
- Correlacionar beacons frequentes por segundo e tráfego POST contendo inventário do host como indicadores de compromisso.
Impacto e setores afetados
Os investigadores vinculam observações iniciais a organizações no Japão, mas o relatório não quantifica o número total de sistemas afetados. O design do malware, com capacidade de tunelamento e proxy, indica risco ampliado para redes corporativas e infraestrutura que dependa de dispositivos expostos com aplicações React/Next.js vulneráveis.
Limites das informações / o que falta saber
O trabalho da NTT Security descreve a telemetria observada e a cadeia de entrega, mas não há divulgação pública de amostras completas ou indicadores de comprometimento exaustivos no texto resumido. Também não foram atribuídos atores com certeza nem apresentada prova de comprometimento em fornecedores específicos.
Repercussão e próximos passos
Organizações com aplicações React/Next.js em serviços expostos devem priorizar a correção da RCE conhecida como React2Shell e realizar busca por sinais de ZnDoor conforme indicadores citados. O relatório ressalta a necessidade de monitoramento comportamental para detectar técnicas de evasão como alteração de timestamps de arquivos e persistência por filhos de processo.
Fontes: análise forense publicada pela NTT Security e resumo divulgado pela Cyber Security News.