«Верните мне мой 2016-й». Новый бэкдор ZnDoor «замораживает» время, чтобы обмануть опытных аналитиков
NewsMakerВ Японии фиксируют атаки через React2Shell, где вместо майнера на серверы ставят новый RAT ZnDoor.
С начала декабря 2025 года SOC-специалисты фиксируют в Японии волну атак с эксплуатацией React2Shell (CVE-2025-55182) — уязвимости удалённого выполнения кода в React/Next.js, которая уже получила публичный PoC и начала массово использоваться против веб-сервисов. Во многих случаях злоумышленники запускают на взломанных системах привычные «нагрузки» вроде криптомайнеров, но в ряде инцидентов аналитики столкнулись с неизвестным вредоносом, который получил имя ZnDoor.
По наблюдениям NTT Security, ZnDoor может применяться как минимум с декабря 2023 года, а также, вероятно, пересекается по контексту с кампаниями по эксплуатации уязвимостей в сетевом оборудовании. В атаке, замеченной на предприятиях внутри Японии, цепочка начинается с React2Shell: после успешной эксплуатации на сервере выполняется команда, которая скачивает и запускает ZnDoor. Примечательно, что сервер раздачи образца и управляющий C2 в этом случае совпадали, а уже после запуска вредонос начинает обмен с инфраструктурой управления.
Конфигурация ZnDoor хранится в коде и извлекается через Base64 с последующей расшифровкой AES-CBC: в ней зашиты адрес api.qtss[.]cc и порт 443. Из этих данных вредонос формирует URL для соединения с C2, маскируя запросы под обычную веб-активность по пути /en/about с параметрами source=redhat и разными значениями id, включая варианты с «версиями» v1.0, v1.1 и длинной числовой строкой.
Дальше начинается регулярный «маячок»: образец собирает системные сведения, упаковывает их в JSON и отправляет на C2 через HTTP POST каждую секунду, при этом подменяя User-Agent под Safari. Внутри передаются, среди прочего, локальные IP-адреса, строка с версией и данными хоста, а также токен жертвы, который генерируется библиотекой xid и затем хэшируется MD5; если в ответ приходит ERROR, вредонос делает паузу и пытается отправить данные повторно до десяти раз.
С начала декабря 2025 года SOC-специалисты фиксируют в Японии волну атак с эксплуатацией React2Shell (CVE-2025-55182) — уязвимости удалённого выполнения кода в React/Next.js, которая уже получила публичный PoC и начала массово использоваться против веб-сервисов. Во многих случаях злоумышленники запускают на взломанных системах привычные «нагрузки» вроде криптомайнеров, но в ряде инцидентов аналитики столкнулись с неизвестным вредоносом, который получил имя ZnDoor.
По наблюдениям NTT Security, ZnDoor может применяться как минимум с декабря 2023 года, а также, вероятно, пересекается по контексту с кампаниями по эксплуатации уязвимостей в сетевом оборудовании. В атаке, замеченной на предприятиях внутри Японии, цепочка начинается с React2Shell: после успешной эксплуатации на сервере выполняется команда, которая скачивает и запускает ZnDoor. Примечательно, что сервер раздачи образца и управляющий C2 в этом случае совпадали, а уже после запуска вредонос начинает обмен с инфраструктурой управления.
Конфигурация ZnDoor хранится в коде и извлекается через Base64 с последующей расшифровкой AES-CBC: в ней зашиты адрес api.qtss[.]cc и порт 443. Из этих данных вредонос формирует URL для соединения с C2, маскируя запросы под обычную веб-активность по пути /en/about с параметрами source=redhat и разными значениями id, включая варианты с «версиями» v1.0, v1.1 и длинной числовой строкой.
Дальше начинается регулярный «маячок»: образец собирает системные сведения, упаковывает их в JSON и отправляет на C2 через HTTP POST каждую секунду, при этом подменяя User-Agent под Safari. Внутри передаются, среди прочего, локальные IP-адреса, строка с версией и данными хоста, а также токен жертвы, который генерируется библиотекой xid и затем хэшируется MD5; если в ответ приходит ERROR, вредонос делает паузу и пытается отправить данные повторно до десяти раз.