Actores de amenazas han comenzado a atacar empresas en los sectores de seguros, comercio electrónico y TI mediante una vulnerabilidad crítica identificada como CVE-2025-55182, conocida comúnmente como React2Shell. Esta falla reside en el protocolo Flight, que gestiona la comunicación cliente-servidor para los React Server Components, permitiendo a los atacantes ejecutar código no autorizado en servidores vulnerables.

Actores de amenazas han comenzado a atacar empresas de los sectores de seguros, comercio electrónico y TI a través de una vulnerabilidad crítica identificada como CVE-2025-55182, conocida comúnmente como React2Shell.

Esta falla existe en el protocolo Flight, que gestiona la comunicación cliente-servidor para los React Server Components, permitiendo a los atacantes ejecutar código no autorizado en servidores vulnerables.

La vulnerabilidad surge de una deserialización insegura, donde los servidores aceptan datos del cliente sin una verificación adecuada. Los ataques principalmente distribuyen el minero de criptomonedas XMRig, junto con varios botnets peligrosos y herramientas de acceso remoto.

Las campañas de explotación han demostrado una velocidad y sofisticación notables.

Analistas de BI.ZONE señalaron que los adversarios pueden armar vulnerabilidades críticas en cuestión de horas tras su divulgación, aunque muchas de estas fallas de seguridad nunca llegan a ser explotadas masivamente en escenarios reales.

Los ataques dirigidos específicamente a entidades rusas desplegaron los botnets RustoBot y Kaiji, mientras que las campañas en otras regiones distribuyeron un abanico más amplio de malware, incluyendo implantes CrossC2, Tactical RMM, puertas traseras VShell y troyanos EtherRAT.

React2Shell afecta a múltiples versiones de paquetes de React Server Components, incluyendo react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0.

Se han lanzado parches en las versiones 19.0.1, 19.1.2 y 19.2.1. Investigadores de BI.ZONE identificaron que simplemente corregir la vulnerabilidad no es suficiente.

Las organizaciones también deben evaluar sus sistemas en busca de indicadores de explotación exitosa y actividad posterior a la explotación, ya que estos ataques suelen involucrar operaciones maliciosas diversas.

Además de aplicar los parches, los desarrolladores deben verificar sus versiones de Next.js y dependencias, reconstruir los proyectos tras las actualizaciones y revisar los archivos de bloqueo para confirmar que se han eliminado las versiones vulnerables de los paquetes.

Los expertos recomiendan restringir las funciones experimentales de React Server Components en entornos de producción a menos que estén cubiertas por los parches de seguridad actuales.

Mecanismo de infección y despliegue de malware

La cadena de ataque comienza cuando los actores de amenazas explotan React2Shell para ejecutar comandos dentro de contenedores comprometidos. Tras obtener acceso inicial, los atacantes descargan y ejecutan scripts Bash desde servidores remotos para desplegar cargas maliciosas.

El script wocaosinm.sh, por ejemplo, descarga ejecutables ELF específicos para cada arquitectura, identificados como el botnet Kaiji, que realiza ataques DDoS y establece persistencia a través de servicios systemd, tareas crontab y utilidades del sistema modificadas.

Otro método de despliegue involucra el script setup2.sh, que instala XMRig versión 6.24.0 descargando un archivo comprimido que contiene la configuración del minero y el ejecutable.

El script alive.sh luego termina cualquier proceso que consuma 40% de CPU o más, excepto el propio minero XMRig y otros procesos incluidos en una lista blanca.

Los atacantes también utilizan túneles DNS a través de herramientas como nslookup para exfiltrar resultados de ejecución de comandos, enviando información a dominios externos mediante consultas codificadas en subdominios.

Las cargas útiles del framework CrossC2 para Cobalt Strike representan otro vector de ataque sofisticado.

Estos ejecutables empaquetados con UPX contienen configuraciones cifradas incrustadas al final del archivo, descifradas mediante el algoritmo AES-128-CBC.

El script check.sh guarda estas cargas útiles como rsyslo y crea un servicio systemd para persistencia, disfrazando el malware como "Rsyslo AV Agent Service" para evitar detecciones.

El malware EtherRAT demuestra capacidades excepcionales de persistencia al establecer cinco métodos diferentes: servicios systemd, entradas XDG Autostart, tareas crontab, modificaciones en .bashrc y alteraciones en .profile.

Este malware basado en JavaScript recupera la dirección de su servidor de comando y control desde un contrato inteligente de Ethereum, haciendo que los métodos tradicionales de bloqueo sean menos efectivos.