Die Entdeckung des Sysdig Threat Research Teams markiert einen Wendepunkt: React2Shell-Exploits erreichen eine neue Komplexitätsstufe – und klassische Schutzmechanismen geraten an ihre Grenzen.
Am 5. Dezember 2025, nur zwei Tage nach der öffentlichen Bekanntgabe von CVE-2025-55182 – einer Schwachstelle mit maximaler Schweregradstufe in React Server Components (RSCs), die die Ausführung von Remote-Code ermöglicht – hat das Sysdig Threat Research Team (TRT) ein neuartiges Implantat aus einer kompromittierten Next.js-Anwendung wiederhergestellt. Im Gegensatz zu den Kryptowährungs-Minern und Credential-Stealern, die in früheren React2Shell-Exploits dokumentiert wurden, ist dieser Payload mit dem Namen EtherRAT weitaus ausgefeilter: Es handelt sich um ein persistentes Zugriffsimplantat, das Techniken aus mindestens drei dokumentierten Kampagnen in einer einzigen, bisher nicht gemeldeten Angriffskette kombiniert.
EtherRAT nutzt Ethereum-Smart-Contracts für die Command-and-Control-Auflösung (C2), setzt fünf unabhängige Linux-Persistenzmechanismen ein und lädt seine eigene Node.js-Laufzeitumgebung von nodejs.org herunter. Diese Kombination von Fähigkeiten wurde bisher bei React2Shell-Exploits nicht beobachtet. Die Analyse des Sysdig TRT zeigt erhebliche Überschneidungen mit dem mit Nordkorea in Verbindung stehenden Tool „Contagious Interview“, was darauf hindeutet, dass entweder Akteure aus der Demokratischen Volksrepublik Korea (DVRK) auf die Ausnutzung von React2Shell umgestiegen sind oder dass ein ausgeklügelter Austausch von Tools zwischen nationalstaatlichen Gruppen stattfindet.
„Wir haben EtherRAT mithilfe von Cloud-Runtime-Security abgefangen. Dabei kann man verfolgen, was während verschiedenen Prozessen tatsächlich passiert – nicht nur vage Netzwerkverkehrssignale interpretieren oder potenzielle IOCs erspähen. Ein Webserver beispielsweise, der Bash zum Herunterladen von Skripten startet? Das ist dank Laufzeitsicherheit eindeutig erkennbar. Änderungen von systemd und cron aus einem Node.js-Prozess heraus? Das ist ebenfalls erkennbar,“ erklärt Sergej Epp, CISO bei Sysdig. „Wenn man keine Sicherheitsmaßnahmen auf Kernel-Ebene einsetzt, hofft man, dass Angreifer schlampig genug sind, um die Perimeter-Abwehr auszulösen. Taktiken wie EtherRAT sind jedoch leider alles andere als schlampig.“
Das unterscheidet EtherRAT:
- Übertragungsvektor: React2Shell-Exploit statt gefälschter Stellenanzeigen als Köder.
- C2-Mechanismus: Blockchain-basiert statt fest codiert.
- Persistenz: Deutlich aggressiver als die dokumentierten Contagious Interview-Payloads.
- Keine Erfassung von Anmeldedaten: Im Gegensatz zu BeaverTail/InvisibleFerret enthält EtherRAT keinen Code zum Auslesen von Kryptowährungs-Wallets.
Die Google Threat Intelligence Group (GTIG) hat kürzlich die Verwendung der BeaverTail-Malware und blockchainbasierter C2-Techniken dem mit Nordkorea in Verbindung stehenden Bedrohungsakteur UNC5342 zugeordnet. Ohne direkte Code-Überschneidungen kann Sysdigjedoch nicht bestätigen, dass es sich bei dem Bedrohungsakteur hinter EtherRAT um denselben handelt. Angesichts einiger der oben aufgeführten wesentlichen Unterschiede könnte es sich hierbei um gemeinsame Techniken mehrerer mit Nordkorea verbundener Bedrohungsgruppen handeln.
Alternativ dazu ist es möglich, dass Akteure aus Nordkorea React2Shell als neuen Initialzugriffsvektor übernommen haben, während ein anderer hochentwickelter Akteur Techniken aus mehreren dokumentierten Kampagnen kombiniert, um die Zuordnung zu erschweren.
Empfehlungen zur Risikominderung und Reaktion
Organisationen, die RSCs oder Next.js einsetzen, sollten unverzüglich Maßnahmen ergreifen:
- Sofortiges Patchen: Aktualisierung von React auf Version 19.2.1 oder höher und Next.js auf gepatchte Versionen. Nach der Aktualisierung sind die Anwendungen neu zu erstellen und erneut bereitzustellen.
- Suche nach Persistenz: Überprüfung aller Systeme, die möglicherweise gefährdet waren, auf nicht autorisierte systemd-Benutzerdienste, XDG-Autostart-Einträge, Cron-Jobs und Änderungen an bashrc/profile.
- Überwachung des Ethereum-RPC-Datenverkehrs: Ungewöhnliche ausgehende Verbindungen zu öffentlichen Ethereum-RPC-Endpunkten von Webanwendungsservern sollten untersucht werden.
- Implementierung einer Laufzeiterkennung: Da signaturbasierte Erkennung gegen Malware, die ihren eigenen Code aktualisiert, unwirksam ist, ist die Erkennung von Laufzeitbedrohungen für die Identifizierung dieser Art von Implantaten von entscheidender Bedeutung.
- Überprüfung der Anwendungsprotokolle: Suche nach Hinweisen auf React2Shell-Exploit-Versuche – insbesondere ungewöhnliche POST-Anfragen an RSC-Endpunkte mit fehlerhaften Payloads.
- Wechsel der Anmeldedaten: Bei Verdacht auf eine Kompromittierung sind alle Anmeldedaten auszutauschen, auf die vom betroffenen System aus zugegriffen werden kann (einschließlich Cloud-Anbieter-Token, API-Schlüssel und SSH-Schlüssel).
Fazit: Was EtherRAT für React2Shell und zukünftige Bedrohungen bedeutet
EtherRAT stellt eine bedeutende Weiterentwicklung der React2Shell-Exploits dar, die über opportunistisches Cryptomining und den Diebstahl von Anmeldedaten hinausgeht und einen dauerhaften, heimlichen Zugriff für langfristige Operationen ermöglicht. Die Kombination aus blockchainbasiertem C2, aggressiver Multi-Vektor-Persistenz und einem Mechanismus zur Aktualisierung der Payload zeugt von einer Komplexität, die bisher bei React2Shell-Payloads nicht zu beobachten war.
Die Überschneidung mit den „Contagious Interview”-Tools der DVRK wirft wichtige Fragen hinsichtlich der Zuordnung und der gemeinsamen Nutzung von Tools zwischen den Bedrohungsakteuren auf. Unabhängig davon, ob dies einen Wechsel nordkoreanischer Akteure zu neuen Exploit-Vektoren oder die Übernahme ausgefeilter Techniken durch einen anderen Akteur darstellt, ist das Ergebnis dasselbe: Verteidiger sehen sich mit einem neuen, anspruchsvollen Implantat konfrontiert, das sich herkömmlichen Erkennungs- und Beseitigungsmethoden widersetzt.
Die zunehmende Häufigkeit von Schwachstellen auf Supply-Chain- und Framework-Ebene, von Log4Shell bis React2Shell, macht die Erkennung von Bedrohungen zur Laufzeit wichtiger denn je. Da Angreifer nun Techniken aus mehreren Kampagnen kombinieren und ihre Payloads dynamisch modifizieren können, können sich Unternehmen nicht mehr ausschließlich auf signaturbasierte Erkennung oder das Blockieren von IOCs verlassen. Runtime-Security in Echtzeit bleibt die zuverlässigste Verteidigung gegen diese sich ständig weiterentwickelnde Bedrohungslandschaft.