上周React开发团队披露了满分漏洞CVE-2025-55182（React2Shell），随后AWS发布警告，Earth Lamia与Jackpot Panda等多支中国国家级黑客组织在漏洞公布后迅速展开利用活动，其他安全厂商及研究机构也陆续披露相关调查情况。

威胁情报公司GreyNoise指出，他们大约从世界协调时间（UTC）12月5日凌晨5时起监测到积极利用漏洞的活动，并发现攻击者同时使用新旧基础设施进行攻击。该公司通过HTTP客户端与TCP堆栈的特征指纹，确认攻击具有高度自动化特征。尽管这是针对React2Shell的早期攻击行为，但Mirai及其他僵尸网络已将该漏洞利用代码纳入其工具包。

根据GreyNoise的分析平台显示，目前共有121个攻击IP地址在利用React2Shell漏洞，其中30个位于美国，另有来自中国、荷兰和新加坡的攻击源。攻击目标覆盖美国、印度、德国、英国、巴基斯坦等10个国家。

攻击者主要基于公开的漏洞概念验证（PoC）代码，首先执行第一阶段的执行验证（Proof-of-Execution，PoE）探测。若漏洞利用成功，便会使用PowerShell下载并执行第二阶段工具。随后，攻击者会绕过防恶意软件扫描接口（AMSI）的检测机制，以实施后续攻击。

在攻击过程中，攻击者会下发“简单数学运算”（Cheap math）的PowerShell指令来利用漏洞。此举旨在避免在终端写入文件或产生网络连接痕迹，从而最小化攻击足迹。此外，由于相关命令不包含特殊关键字，安全厂商难以构建有效的检测规则。

安全公司Palo Alto Networks旗下的威胁情报团队Unit 42向安全媒体Bleeping Computer与CyberScoop透露，代号为UNC5174或CL-STA-1015的中国国家级黑客组织，利用React2Shell入侵企业环境后，部署了恶意软件加载器Snowlight和后门程序Vshell，并窃取AWS配置文件及凭证信息，至少有30家企事业单位遭受攻击。

美国网络与基础设施安全局（CISA）于12月5日发布公告，确认React2Shell已被实际利用，并将其列入“已知被利用漏洞”（KEV）清单，要求联邦机构务必于12月26日前完成补丁修复。

值得注意的是，全球仍有大量React服务器未修复，持续暴露在风险中。Shadowserver基金会警告称，12月5日全球仍有77,664个IP地址存在React2Shell漏洞，其中美国最多，近2.4万台；德国、法国次之，分别约9,400台和4,700台。仅一天后，漏洞暴露数量大幅下降，12月6日美国仍居首位，但数量降至1.24万台，德国与中国居次，分别为4,300台和2,600台；中国大陆地区仍有60台服务器尚未修复。