Google advierte sobre grupos explotando React2Shell para propagar malware

Google Threat Intelligence Group (GTIG) ha emitido una advertencia sobre la explotación generalizada de una falla de seguridad crítica en React Server Components. Conocida como React2Shell (CVE-2025-55182), esta vulnerabilidad permite a los atacantes tomar el control de los servidores de forma remota sin necesidad de una contraseña.

Google Threat Intelligence Group (GTIG) ha emitido una advertencia sobre la explotación generalizada de una falla de seguridad crítica en React Server Components. Conocida como React2Shell (CVE-2025-55182), esta vulnerabilidad permite a los atacantes tomar el control de los servidores de forma remota sin necesidad de una contraseña. Desde que la vulnerabilidad fue revelada el 3 de diciembre de 2025, Google ha observado a múltiples grupos de hackers distintos abusando de la falla. Los atacantes van desde grupos de espionaje patrocinados por estados hasta ciberdelincuentes que buscan ganancias financieras.

Actores de Amenaza y Campañas de Malware

Los investigadores de Google han identificado varias campañas dirigidas a sistemas no parcheados. Las observaciones clave incluyen:

• Espionaje con Nexo Chino: Grupos vinculados a China están utilizando React2Shell para desplegar puertas traseras y herramientas sigilosas. Un grupo, UNC6600, instala el túnel MINOCAT para mantener un acceso oculto a las redes de las víctimas. Otro grupo, UNC6603, utiliza una versión actualizada de la puerta trasera HISONIC, que oculta su tráfico comunicándose a través de servicios legítimos como Cloudflare.
• Ciberdelito Financiero: Atacantes oportunistas están utilizando la falla para instalar mineros de criptomonedas. En un caso, los delincuentes desplegaron XMRig para generar moneda digital utilizando la potencia del servidor de la víctima.
• Amenazas Adicionales: Otro malware identificado incluye el descargador SNOWLIGHT y la puerta trasera COMPOOD, ambos utilizados para robar datos o cargar software malicioso adicional.

React2Shell tiene una calificación de severidad máxima de 10.0 (CVSS v3). Afecta a versiones específicas de React y Next.js, frameworks populares utilizados para construir sitios web modernos. Debido a que estas herramientas son ampliamente utilizadas, muchas organizaciones están actualmente expuestas. Google advierte que el código de explotación legítimo ya está disponible públicamente, lo que facilita a los atacantes atacar. Si bien algunas de las primeras herramientas de explotación eran falsas o defectuosas, los métodos funcionales, incluidas las herramientas que pueden instalar shells web directamente en la memoria, ya están en circulación. Los expertos en seguridad instan a los administradores a parchear los sistemas afectados de inmediato. Las organizaciones que utilicen Next.js o React Server Components deben verificar que estén ejecutando versiones seguras para evitar el acceso no autorizado. IoC

Indicador

TipoDescripciónreactcdn.windowserrorapis[.]com82.163.22[.]139216.158.232[.]4345.76.155[.]14df3f20a961d29eed46636783b71589c183675510737c984a11f78932b177b54092064e210b23cf5b94585d3722bf53373d54fb4114dca25c34e010d0c010edf30bc65a55a84d1b2e2a320d2b011186a14f9074d6d28ff9120cb24fcc03c3f69613675cca4674a8f9a8fabe4f9df4ae0ae9ef11986dd1dcc6a896912c7d5272747f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273

Fuentes:
https://cybersecuritynews.com/google-warns-exploiting-react2shell-to-spread-malware/