Underc0de - La Casa de los Informáticos

La campaña de explotación React2Shell continúa intensificándose a escala global mientras grupos de amenazas aprovechan la vulnerabilidad crítica CVE-2025-55182 en React Server Components (RSC) para ejecutar código remoto sin autenticación. Nuevas investigaciones de Huntress revelan un incremento notable en ataques dirigidos y la aparición de familias de malware previamente desconocidas, posicionando esta amenaza como una de las más agresivas del ecosistema JavaScript y de frameworks como Next.js.

A través de esta vulnerabilidad, los atacantes están desplegando mineros de criptomonedas, backdoors avanzadas y herramientas de post-explotación diseñadas para obtener persistencia, control total del sistema y capacidades de movimiento lateral. Entre las nuevas amenazas identificadas destacan PeerBlight, CowTunnel y ZinFoq, cada una con funciones altamente evasivas y diseñadas para atacar sistemas Linux y Windows sin distinción.

CVE-2025-55182: una puerta abierta para la ejecución remota de código

La vulnerabilidad CVE-2025-55182 permite a los atacantes comprometer servidores basados en React Server Components sin interacción del usuario. Desde el 8 de diciembre de 2025, la explotación activa ha afectado a múltiples sectores, pero Huntress destaca dos especialmente golpeados:

• Construcción
• Entretenimiento

El primer intento de explotación registrado por la compañía se remonta al 4 de diciembre de 2025, cuando un actor desconocido atacó una instancia vulnerable de Next.js para ejecutar un script shell y desplegar un minero de criptomonedas junto con una puerta trasera en Linux. Esta técnica es ahora parte del patrón operativo observado en numerosos endpoints.

Automatización y explotación masiva: el sello de esta campaña

Los investigadores de Huntress aseguran que el actor de amenaza utiliza herramientas automáticas de escaneo y explotación, algo evidente por:

• Sondas de vulnerabilidad idénticas en múltiples víctimas.
• Pruebas de shell code repetidas.
• Infraestructura C2 consistente.
• Intentos de instalar cargas útiles de Linux incluso en endpoints Windows.

Los atacantes utilizan herramientas públicas de GitHub para identificar instancias vulnerables de Next.js, acelerando el proceso de explotación y expandiendo su alcance a escala global.

Malware desplegado en la campaña React2Shell

A continuación, se detallan las cargas útiles observadas en los ataques activos:

1. sex.sh

Script bash diseñado para descargar XMRig 6.24.0 directamente desde GitHub. Su función principal es convertir al host comprometido en un minero de criptomonedas.

2. PeerBlight

Una sofisticada puerta trasera para Linux, que comparte código con los malware RotaJakiro y Pink detectados en 2021.
Sus capacidades incluyen:

• Persistencia mediante systemd.
• Suplantación del proceso "ksoftirqd" para evadir detecciones.
• Comunicación con un C2 codificado: 185.247.224[.]41:8443.
• Subida, descarga y eliminación de archivos.
• Reverse shell interactivo.
• Ejecución arbitraria de binarios.
• Auto-actualización.

PeerBlight también utiliza un algoritmo DGA y una red DHT BitTorrent como canales C2 alternativos. Los bots se identifican mediante el prefijo LOLlolLOL, detectado ya en más de 60 nodos únicos.

3. CowTunnel

Un proxy inverso que crea conexiones salientes hacia servidores Fast Reverse Proxy (FRP) controlados por el atacante. Esta técnica evita firewalls configurados únicamente para monitorear conexiones entrantes, permitiendo a los operadores acceder a los sistemas comprometidos sin generar alarmas visibles.

4. ZinFoq

Un implante post-explotación basado en Go, con capacidades avanzadas:

• Shell interactivo
• Operaciones de archivos
• Pivoteo de red
• Timestomping
• Proxy SOCKS5
• PTY reverse shell
• Eliminación del historial bash
• Disfrazarse como uno de 44 servicios Linux legítimos
• Exfiltración y descarga de payloads adicionales

5. d5.sh

Script dropper utilizado para desplegar el framework Sliver C2, una herramienta ampliamente usada por grupos APT y operadores de ransomware.

6. fn22.sh

Variante de d5.sh con un mecanismo de autoactualización para obtener nuevas versiones del malware.

7. wocaosinm.sh

Una versión modificada del conocido malware DDoS Kaiji, mejorado con funcionalidades de administración remota, persistencia y técnicas de evasión más complejas.

Impacto global: más de 165.000 IP vulnerables

Según la Shadowserver Foundation, alrededor del 8 de diciembre de 2025 se detectaron:

• 165.000+ direcciones IP vulnerables
• 644.000 dominios afectados

Los países más impactados son:

• Estados Unidos – 99.200 casos
• Alemania – 14.100
• Francia – 6.400
• India – 4.500

Esto confirma que React2Shell no es un ataque aislado, sino un evento de explotación masiva con efectos globales.

Recomendaciones inmediatas para organizaciones

Huntress recomienda a todas las empresas que utilicen:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

actualizar de inmediato para evitar compromisos.
Debido a la gran facilidad de explotación y la severidad del fallo, cada hora sin parchear incrementa drásticamente el riesgo.

En fin...

La campaña React2Shell representa una amenaza crítica para cualquier organización que utilice React Server Components o frameworks basados en Next.js. Con atacantes aprovechando CVE-2025-55182 de forma automatizada y desplegando nuevas familias de malware altamente evasivas, la única defensa eficaz es actualizar, reforzar la monitorización y revisar configuraciones de exposición pública.

El ecosistema JavaScript vuelve a ser el blanco preferido por operadores avanzados, y esta campaña confirma que las vulnerabilidades en frameworks modernos pueden desencadenar ataques de alcance mundial.

Fuente: https://thehackernews.com/