في تطور يثير القلق، رُصدت مجموعتان من القراصنة المرتبطين بالصين وهما Earth Lamia وJackpot Panda وهما يستغلان ثغرة أمنية جديدة في مكوّنات خادم React Server Components (RSC) خلال ساعات من الكشف عنها علنًا. الثغرة، المعروفة باسم CVE-2025-55182 أو React2Shell، تحمل درجة خطورة قصوى (CVSS 10.0) وتتيح تنفيذ أوامر عن بُعد دون مصادقة. وقد تمت معالجتها في إصدارات React 19.0.1 و19.1.2 و19.2.1.
نشاط مكثف ورصد عبر AWS
بحسب تقرير من Amazon Web Services (AWS)، تم رصد محاولات استغلال عبر بنية تحتية مرتبطة تاريخيًا بجهات تهديد صينية، وذلك من خلال نظام المراقبة MadPot. وأكد CJ Moses، مدير الأمن في Amazon، أن هذه المحاولات تعكس نشاطًا منظمًا لمجموعات مدعومة من الدولة.
Earth Lamia وJackpot Panda.. خلفيات الهجمات
مجموعة Earth Lamia ارتبطت سابقًا باستغلال ثغرة حرجة في SAP NetWeaver (CVE-2025-31324)، واستهدفت قطاعات متنوعة تشمل الخدمات المالية واللوجستية والجامعات والهيئات الحكومية في أمريكا اللاتينية والشرق الأوسط وجنوب شرق آسيا. أما Jackpot Panda، النشطة منذ 2020، فقد ركزت على كيانات مرتبطة بعمليات المقامرة عبر الإنترنت في شرق وجنوب شرق آسيا. وهي معروفة بعملية ChattyGoblin التي استغلت تطبيق المحادثة Comm100 عام 2022، إضافة إلى استخدام مثبتات خبيثة لتطبيقات مثل CloudChat لنشر برمجيات مثل XShade المرتبطة بأداة CplRAT.
أسلوب الاستغلال وأهدافه
الهجمات الأخيرة تضمنت تشغيل أوامر استكشافية وكتابة ملفات مثل “/tmp/pwned.txt”، وقراءة ملفات حساسة مثل “/etc/passwd”. كما رصدت AWS استغلالًا متزامنًا لثغرات أخرى مثل CVE-2025-1338 في كاميرات NUUO، ما يشير إلى حملة واسعة النطاق تستهدف أنظمة غير محدثة. هذه المنهجية تعكس استراتيجية ممنهجة: مراقبة إعلانات الثغرات الجديدة، دمج الاستغلالات العامة بسرعة، وتنفيذ حملات واسعة عبر ثغرات متعددة لزيادة فرص النجاح.
انقطاع مؤقت في خدمات Cloudflare
في سياق متصل، أعلنت Cloudflare عن انقطاع قصير في شبكتها أدى إلى ظهور رسالة “500 Internal Server Error” على مواقع عديدة. الشركة أوضحت أن السبب يعود إلى تعديل في طريقة تعامل جدار الحماية مع الطلبات، وذلك ضمن جهودها لتخفيف أثر ثغرة React2Shell، مؤكدة أن الأمر لم يكن نتيجة هجوم خارجي.
