Amazon detecteert actieve aanvallen door Chinese staatshackers op de kritieke React2Shell-kwetsbaarheid (CVE-2025-55182). De groepen Earth Lamia en Jackpot Panda begonnen binnen enkele uren na de publicatie op 3 december 2025 met exploitatie. De kwetsbaarheid treft React 19.x en Next.js 15.x/16.x met App Router.
De kwetsbaarheid kreeg de maximale CVSS-score van 10.0. Het stelt aanvallers in staat om zonder authenticatie op afstand code uit te voeren op kwetsbare servers. Meta ontdekte het probleem eind november en werkte aan een gecoördineerde fix met cloudproviders.
Amazon-securityonderzoekers waarschuwden op 3 december dat Chinese cyberdreigingsgroepen de kwetsbaarheid direct wapenden. De snelheid waarmee ze publieke proof-of-concept exploits operationaliseerden is zorgwekkend, stelt het bedrijf. China blijft de meest productieve bron van staatsgesponsorde cyberaanvallen.
Via de AWS MadPot-honeypot infrastructuur identificeerde Amazon zowel bekende groepen als nieuwe dreigingsclusters. Earth Lamia richt zich op organisaties in Latijns-Amerika, het Midden-Oosten en Zuidoost-Azië via webapplicatiekwetsbaarheden. Jackpot Panda valt voornamelijk entiteiten in Oost- en Zuidoost-Azië aan.
Attributie blijft lastig door gedeelde anonimiseringsinfrastructuur. Grote anonimiseringsnetwerken zijn een kenmerk van Chinese cyberoperaties geworden. Meerdere hackgroeperingen gebruiken deze netwerken tegelijkertijd, wat het toewijzen van activiteiten aan individuele actoren bemoeilijkt.
Een opmerkelijk voorbeeld: IP-adres 183.6.80.214 besteedde bijna een uur aan het systematisch troubleshooten van exploitatiepogingen. In 52 minuten verstuurde deze actor 116 verzoeken en probeerde Linux-commando’s uit te voeren. Dit gedrag toont dat dreigingsactoren niet alleen geautomatiseerde scans draaien, maar actief hun exploitatietechnieken verfijnen.
Bescherming en aanbevelingen
AWS implementeerde meerdere beschermingslagen via Sonaris Active Defense, AWS WAF managed rules en perimeter security controls. React Server Components zijn kwetsbaar zodra ze RSC ondersteunen, zelfs zonder expliciete server functions.
Bedrijven die managed AWS-services gebruiken zijn niet getroffen. Organisaties die React of Next.js in eigen omgevingen draaien op EC2 of containers moeten onmiddellijk updaten naar de gepatchte versies.
Amazon benadrukt dat applicatielaag-kwetsbaarheden moeilijk volledig te detecteren zijn via netwerktelemetrie.