Eine unbekannte, möglicherweise staatliche Hackergruppe nutzt das Toolkit „ILovePoop”, um Millionen von IP-Adressen auf die kritische React2Shell-Schwachstelle zu scannen und zielt dabei auf US-Behörden, Finanzinstitute und große Konzerne ab.
Die React2Shell-Sicherheitslücke entwickelt sich zu einer ernsthaften, lang anhaltenden Bedrohung. Mehrere Monate nach ihrer Erstveröffentlichung im Dezember 2025 zeigen aktuelle Erkenntnisse, dass eine unbekannte Hackergruppe — möglicherweise mit staatlichen Verbindungen — ein Erkennungswerkzeug namens „ILovePoop” einsetzt, um systematisch nach verwundbaren Systemen zu suchen. WhoisXML API dokumentierte, dass die Angreifer über 37.000 Netzwerke weltweit, insbesondere in den USA, durchleuchtet haben.
Die Ziele sind bemerkenswert hochwertig: NASA-Einrichtungen, das US-Verteidigungsministerium, die Bundesstaaten Vermont und North Carolina, Großbanken wie JPMorgan Chase und Goldman Sachs sowie Tech-Konzerne wie Salesforce, Netflix und Disney. Forscher vermuten, dass diese Aufklärungsphase den tatsächlichen Angriffen vorausgeht — im Durchschnitt etwa 45 Tage vorher.
Die Angriffstaktiken werden zusehends raffinierter. Waren die ersten Exploitationsversuche noch automatisiert und wahllos, zeigen sich nun gezielt ausgeführte Post-Exploitation-Techniken. Sicherheitsanalystin Anna Pham von Huntress beobachtet: „Die anfänglichen Wellen waren von Botnets und Kryptominern geprägt, doch inzwischen sehen wir ausgefeilte Methoden wie die Nutzung von BitTorrent-DHT als widerstandsfähigen Command-and-Control-Fallback — Techniken speziell zur Umgehung von Domain-Takedowns.”
CVE-2025-55182, die sogenannte React2Shell-Lücke, ist eine kritische Remote-Code-Execution-Schwachstelle in React Server Components, die mit einem einzigen Webrequest ausgenutzt werden kann — oft ohne Authentifizierung. Sie erhielt die maximale CVSS-Bewertung von 10.0. Das Framework Next.js ist besonders anfällig, da es React als „vendored” Package bündelt — viele Standard-Scanning-Tools erkennen die Verwundbarkeit gar nicht automatisch.
Die praktischen Herausforderungen beim Patching sind erheblich. Container-Umgebungen, Cloud-Infrastrukturen mit mehreren Instanzen und vernachlässigte Legacy-Anwendungen schaffen eine lange Reihe ungepatchter Systeme. Hinzu kamen anfangs zahlreiche funktionslose Proof-of-Concept-Exploits, die Sicherheitsteams in Sicherheit wiegten. Pham warnt: „Zehntausende verwundbare Instanzen sind noch immer erreichbar, zusätzliche Botnets haben React2Shell aufgenommen, und auch Ransomware-Kampagnen nutzen die Lücke mittlerweile aus.”
Chinesische, iranische und nordkoreanische Akteure begannen kurz nach der Veröffentlichung mit Exploitationen. Der Trend wird sich nicht schnell abschwächen — React2Shell ist mittlerweile fester Bestandteil mehrerer Angreifer-Playbooks geworden.
Quelle: Dark Reading