Die Forscher von WhoisXML API gehen davon aus, dass die von ihnen verfolgte Gruppe in staatlich gestützte Spionage verwickelt sein könnte. Trotz seines Namens wirke das Werkzeug ILovePoop recht ausgereift; zudem vermuten die Forscher, dass der Programmierer der Software nicht zwangsläufig derselbe Akteur ist, der sie einsetzt.
Als weiteres, indirektes Indiz nennen sie die Auswahl der Ziele. Zu den mehr als 37.000 sondierten Netzwerken zählen NASA-Einrichtungen, das Department of Defense Intelligence Information System und die Defense Information Systems Agency (DISA), die Bundesstaaten Vermont und North Carolina sowie die Stadtverwaltungen von Phoenix, Boston und San Diego. Hinzu kommen große Finanzinstitute wie Bank of New York Mellon, Goldman Sachs, Santander US Capital Markets und JPMorgan Chase, Konzerne wie Salesforce, Netflix, Visa, Paypal und Disney sowie Organisationen aus dem Energiesektor, darunter regionale Versorger.
Das Anpingen eines Netzwerks ist noch keine Kompromittierung. Dennoch warnen die Forscher, dass diese frühe Aufklärungsphase in einigen Fällen tatsächlichen Angriffen vorausging: Manche IP-Adressen, von denen in den vergangenen Monaten React2Shell-Angriffe ausgingen, tauchten im Schnitt rund 45 Tage vor dem eigentlichen Zugriff erstmals in der Netzwerktelemetrie auf.
Nach Einschätzung von Anna Pham, Senior Hunt and Response Analyst bei Huntress, hat sich die Bedrohungslage rund um die Lücke in Schichten entwickelt. Die erste Welle sei von opportunistischen, weitgehend automatisierten Angriffen geprägt gewesen — Kampagnen nach dem Gießkannenprinzip, die Kryptominer und Botnet-Schadcode verteilten. Dabei habe man Angreifer beobachtet, die Linux-spezifischen Schadcode gegen Windows-Endpunkte richteten — ein Zeichen dafür, dass die Automatisierung nicht einmal zwischen den Betriebssystemen der Ziele unterschied.
Beruhigt habe sich die Lage seither nicht, so Pham. Es seien weiterhin Zehntausende verwundbare Instanzen im Internet erreichbar, weitere Botnetze hätten React2Shell in ihr Arsenal aufgenommen, und die Lücke sei auch in Ransomware-Kampagnen bestätigt worden. Zugleich sei das Vorgehen nach der Erstausnutzung ausgefeilter geworden: So nutze etwa PeerBlight die BitTorrent-DHT als widerstandsfähigen Rückfallkanal zur Steuerung (C2), eine Technik, die gezielt darauf ausgelegt sei, klassische Domain-Abschaltungen zu überstehen.
Nach der Erstveröffentlichung begannen laut Quelltext binnen Stunden chinesische staatliche Angreifer mit der Ausnutzung in Cloud- und Unternehmensumgebungen; mutmaßlich staatliche Akteure aus dem Iran und Nordkorea folgten.
Das Schließen der Lücke ist nicht trivial. Pham verweist auf ein Sichtbarkeitsproblem beim betroffenen Framework Next.js: Dieses binde React nicht als klassische Abhängigkeit ein, sondern als “vendored” Paket. Viele gängige Scan-Werkzeuge meldeten Next.js-Installationen daher nicht automatisch als anfällig für CVE-2025-55182, sodass Organisationen ihre Gefährdung womöglich gar nicht bemerkten.
Hinzu kommen containerisierte Cloud-Umgebungen mit vielen Instanzen und Build-Pipelines, interne Werkzeuge, Schatten-IT und nicht mehr gepflegte Alt-Anwendungen. Da React2Shell auch Standardkonfigurationen betreffe, seien selbst leere, mit create-next-app erzeugte Anwendungen verwundbar. Erschwerend wirkte laut Pham die anfängliche Verwirrung: Kurz nach der Veröffentlichung kursierten zahlreiche gefälschte und nicht funktionierende Proof-of-Concept-Exploits, was bei manchen Sicherheitsteams den falschen Eindruck erzeugt haben könnte, die Lücke sei überbewertet. Tatsächlich sei der echte Exploit zuverlässig und benötige keinerlei Authentifizierung. Zudem musste React in den Tagen nach der Veröffentlichung Folge-Updates für weitere entdeckte Schwachstellen nachreichen.
