ILOVEPOOPと名付けられた新たに特定されたエクスプロイトツールキットが、「React2Shell」としても知られるCVE-2025-55182を積極的に武器化し、脆弱なNext.jsおよびReact Server Components(RSC)環境をスキャンして標的にしています。 この調査結果は、WXA Internet Abuse Signal Collective(WXA IASC)によるもので、NetFlowテレメトリ、ハニーポットデータ、エンリッチメントデータセットを相関させて、キャンペーンの背後にあるインフラストラクチャをマッピングしました。 React2Shellは2025年12月4日に公開されました。約20時間以内に、WXAのNiihamaハニーポットセンサーがアクティブなエクスプロイト試行を観測しました。 初期のトラフィックでは、攻撃者がNext-Action: xヘッダー(React Server Actionsに関連する指標)を使用したHTTP POSTリクエストを使用していることが示されました。ペイロードは一貫したコンテンツ長でmultipart/form-dataとして送信され、以下のようなパスを標的としていました: 公開後の最初の1か月間で、複数の国にまたがる70以上の一意のIPアドレスから1,500回以上のエクスプロイト試行が記録され、急速なグローバル規模での武器化を示しています。 WXAテレメトリは、オランダでホストされている2つのIPアドレスを中心とした極端なインフラストラクチャの集中化を浮き彫りにしています: 3か月間の観測期間中、これらのシステムは2,200万を超えるNetFlowレコードを生成し、数百万の異なる送信元および宛先IPアドレスと相互作用しました。 独立したGreyNoiseレポートは、監視期間中に観測されたReact2Shellエクスプロイトトラフィックの半分以上をこれらの同じIPが占めていることを確認しました。 これらのホストの1つである87.121.84[.]24は、統合されたエクスプロイトフレームワークであるILOVEPOOPツールキットに直接結び付けられました。このツールキットは、ポーランド、ドイツ、ブルガリア、オランダのプロバイダーでホストされている9つのスキャナーノード上で動作しています。 30日間の期間中、ツールキットは672回のエクスプロイト試行を生成し、すべてが同一の特性を共有していました: この統一された構造は、独立した日和見的スキャナーではなく、単一のオペレーターまたは厳密に管理されたツールキットを強く示唆しています。 HTTPベースのエクスプロイトに加えて、キャンペーンは異常なマルチプロトコル動作を示しました。ハニーポットテレメトリは、1つのスキャナーがPOP3デーモン経由でReact2Shellペイロードを配信しようとする試みを捕捉しました。 別途、87.121.84[.]24は短時間のDNP3トラフィックのバースト(産業制御システム(ICS)プロトコル)を実施し、Web標的を超えた偵察を示しています。 91件のケースで、NetFlowテレメトリは、直接的なハニーポット攻撃の中央値45日前にエクスプロイトインフラストラクチャとの相互作用を検出し、強力な早期警告価値を示しています。 翻訳元:

The cybersecurity sector has been impacted by the sudden appearance of “React2Shell” (CVE-2025-55182), a critical vulnerability affecting Next.js and React Server Components. Following its public disclosure on December 4, 2025, threat actors mobilized with alarming speed, launching exploitation attempts against internet-facing systems within just 20 hours. The flaw allows unauthenticated attackers to execute arbitrary code on vulnerable servers, making it a high-priority threat for enterprises globally. Attacks typically manifest as malicious HTTP POST requests targeting specific server routes such as  /_next/server  and  /_next/flight . By manipulating the serialization process of server components, intruders can inject unauthorized commands directly into the application’s runtime. The initial waves of this campaign were characterized by high-volume scanning, designed to identify and compromise exposed infrastructure before defenders could apply necessary patches. WhoisXMLAPI analysts identified the “ILOVEPOOP” toolkit as the driving force behind a significant portion of this hostile activity. This sophisticated yet crudely named framework operates through a centralized infrastructure, primarily anchored by two high-traffic servers hosted in the Netherlands. Telemetry indicates these nodes have interacted with millions of global endpoints, signaling a massive effort to map and exploit vulnerable networks across sectors like SaaS, retail, and government. Inside the ILOVEPOOP Toolkit’s Mechanics The toolkit distinguishes itself through a unique and consistent attack signature that simplifies detection for vigilant defenders. It utilizes a cluster of nine distinct scanner nodes that rotate their operations to maintain persistence and evade static blocklists. A hallmark of this toolkit is the inclusion of specific, non-standard HTTP headers in every exploit attempt, most notably  X-Nextjs-Request-Id: poop1234  and  Next-Action: x . These markers serve as a digital fingerprint, tying thousands of disparate attacks back to a single operator or group. Furthermore, the toolkit employs a rigorous scanning methodology, systematically probing six specific Next.js paths to test for susceptibility. It often begins with generic reconnaissance against login pages before escalating to complex React Server Actions payloads involving prototype pollution. The infrastructure is highly centralized, with the two primary Netherlands IPs (193.142.147[.]209 and 87.121.84[.]24) acting as the command hubs. Additionally, the toolkit has demonstrated unusual versatility, with observed attempts to deliver React2Shell payloads via POP3 protocols, likely to bypass standard web filters. However, blocking these core nodes and filtering for the “ilovepoop” header patterns remains the most effective method to neutralize the immediate threat. Security teams should urgently patch affected Next.js installations and configure Web Application Firewalls (WAF) to reject requests containing the identified malicious headers. Additionally, blocking traffic from the known Netherlands-based exploit servers is strongly advised to disrupt the toolkit’s primary communication channels. Follow us on  Google News ,  LinkedIn , and  X  to Get More Instant Updates ,  Set CSN as a Preferred Source in  Google . The post ILOVEPOOP Toolkit Exploiting React2Shell Vulnerability to Deploy Malicious Payload appeared first on Cyber Security News .