本月初，React 开发团队修复了一个严重安全漏洞 CVE-2025-55182（React2Shell），不久后，多个国家级黑客组织便将其用于实际攻击，随后朝鲜黑客、僵尸网络及挖矿软件也相继利用该漏洞，如今又传出勒索软件开始运用此漏洞的情况。

企业情报与风险咨询公司 S-RM 发现，一个以财务利益为目的的黑客组织针对其客户发动攻击，试图部署勒索软件 Weaxor，并通过 React2Shell 漏洞获取初始访问权限。黑客于 12 月 5 日成功入侵后，立即执行经过混淆处理的 PowerShell 命令，下载 Cobalt Strike 并部署 Beacon，以建立命令与控制（C2）通信。随后，他们禁用了系统内置防病毒软件 Microsoft Defender 的实时防护功能，并部署勒索软件的有效载荷。

值得注意的是，从成功入侵到执行勒索软件，整个过程耗时不足一分钟，表明攻击流程极可能已实现自动化。此外，攻击者未进一步横向移动至其他内部系统，也未窃取或外泄数据。但后续受害主机又被其他黑客入侵，并部署了各自的 C2 通信机制，S-RM 未透露这些黑客的身份及相关细节。

关于 Weaxor 的来源，S-RM 指出该勒索软件于去年出现，很可能是由 Mallox 勒索软件更名而来。尽管 Mallox 曾以“勒索软件即服务”（RaaS）模式提供给买家使用，但 Weaxor 并未采用这种商业模式。使用 Weaxor 的攻击者通常会瞄准可通过互联网访问的 Web 服务器进行攻击。