CVE-2025-55182（React2Shell）の公開直後、Sysdig TRTは侵害されたNext.jsアプリから高度な新型インプラント「EtherRAT」を確認した。

EtherRATはReact2Shellを初期侵入に用い、Ethereumスマートコントラクトを使ったブロックチェーン型C2、Node.js公式配布物の悪用、5種類のLinux永続化手法、自己更新機構を備える点が特徴で、従来の暗号通貨マイナー等より大幅に高度である。

DPRK関連キャンペーンとの類似も指摘され、国家レベルでの手法共有の可能性が示唆される。対策としては、React/Next.jsの即時パッチ適用、永続化痕跡の調査、Ethereum RPC通信の監視、そしてシグネチャに依存しないランタイム脅威検知の導入が不可欠とされる。