12月初，React开发工程团队披露了一个重大漏洞React2Shell（CVE-2025-55182），随后立即有国家级黑客将其用于实际攻击行动，也有僵尸网络利用该漏洞劫持Next.js应用服务器，进行挖矿和DDoS攻击。目前，有人结合网页应用防火墙（WAF）的安全漏洞开展新的攻击活动。

安全研究团队Ctrl-Alt-Int3l指出，他们从安全公司Censys的威胁情报中，发现了一个暴露渗透测试框架Sliver C2数据库与事件日志的黑客组织。研究团队通过分析这些数据库、事件日志及关联基础设施，确认该组织成功入侵了网页应用防火墙FortiWeb并部署了Sliver，整个过程利用了React2Shell漏洞，同时通过Fast Reverse Proxy（FRP）暴露了受害组织的内部服务。

Ctrl-Alt-Int3l共监测到30个IP地址被植入了Beacon，其中大量受害组织集中于巴基斯坦和孟加拉，涉及金融行业与政府机构。此外，黑客还在与中国无关的主机上部署了Sliver。此次攻击事件凸显了边缘设备普遍缺乏EDR和杀毒软件防护，成为企业安全监测的盲区。

关于黑客的初始入侵途径，研究人员推测其针对已知漏洞下手，对可通过互联网访问的主机部署Sliver，并对FortiWeb设备实施渗透。但由于无法复现概念验证攻击工具（PoC），Ctrl-Alt-Int3l无法确定具体利用的漏洞，仅指出受影响的FortiWeb设备多为过时版本。

值得注意的是，黑客部署的Sliver终端还同时设置了诱饵网站以干扰研究人员分析，其中一个伪装成Ubuntu软件包网站，另一个则是宣传孟加拉空军招募的网页。因此，研究人员判断孟加拉可能是攻击者的主要目标。

一旦成功部署Sliver，黑客便在受害主机上植入FRP，用于构建代理服务器基础设施，同时使用开源工具microsock进行流量中继。