Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidad de React2Shell

Vulnerabilidad de React2Shell

Por Mezo en Vulnerabilidad, Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Investigadores de seguridad han confirmado que la vulnerabilidad crítica conocida como React2Shell está siendo explotada activamente por múltiples actores de amenazas para comprometer sistemas basados en Linux. Esta falla se está aprovechando para implementar varias familias de malware, en particular KSwapDoor y ZnDoor, lo que permite un acceso profundo y persistente a los entornos afectados. Esta explotación continua pone de manifiesto la rapidez con la que se materializan las fallas de aplicaciones de alto impacto una vez descubiertas.

KSwapDoor: una puerta trasera de Linux enfocada en el sigilo

KSwapDoor es una herramienta de acceso remoto cuidadosamente diseñada para permanecer oculta durante largos periodos. Establece una red interna en malla que permite a los servidores infectados comunicarse entre sí, lo que ayuda a los atacantes a eludir las defensas perimetrales y a mantener la resiliencia si se bloquean nodos individuales. Su tráfico de red está protegido con un cifrado robusto, lo que dificulta considerablemente la inspección y la detección. Una de sus características más preocupantes es su estado latente o "durmiente", que permite que el malware permanezca inactivo hasta que recibe un activador encubierto que lo reactiva, evadiendo eficazmente los controles del firewall.

Los investigadores aclararon que KSwapDoor se había identificado previamente erróneamente como BPFDoor. En realidad, se trata de una puerta trasera de Linux que permite el acceso interactivo a la shell, la ejecución de comandos arbitrarios, la manipulación de archivos y el escaneo en busca de oportunidades de movimiento lateral. Para integrarse mejor, se hace pasar por un demonio legítimo de intercambio del kernel de Linux, lo que reduce la probabilidad de levantar sospechas durante la monitorización rutinaria del sistema.

Campañas de ZnDoor dirigidas a organizaciones japonesas

Paralelamente, organizaciones en Japón han sido blanco de ataques que explotan React2Shell para distribuir ZnDoor. Este troyano de acceso remoto se ha observado en actividad real desde al menos diciembre de 2023. Estas intrusiones suelen comenzar con un simple comando bash que recupera la carga útil de un servidor remoto en 45.76.155.14 mediante wget y luego la ejecuta localmente.

Una vez instalado, ZnDoor se conecta a la infraestructura controlada por el atacante para recibir instrucciones y actuar en consecuencia. Su funcionalidad es amplia y permite un control total sobre el host comprometido, como se ilustra en el siguiente conjunto de comandos compatibles:

  • shell y interactive_shell para ejecución directa de comandos y acceso interactivo
  • explorer, explorer_cat, explorer_delete, explorer_upload y explorer_download para operaciones con archivos y directorios
  • sistema para recopilar información del host
  • change_timefile para modificar las marcas de tiempo del archivo
  • socket_quick_startstreams para iniciar un proxy SOCKS5
  • start_in_port_forward y stop_in_port para administrar el reenvío de puertos

CVE-2025-55182 y la militarización multigrupo

Esta actividad más amplia coincide con la explotación generalizada de CVE-2025-55182, una vulnerabilidad de React2Shell con una puntuación CVSS máxima de 10.0. Se ha observado que al menos cinco grupos de amenazas alineados con China utilizan esta vulnerabilidad para distribuir diversas cargas útiles, incluyendo herramientas de tunelización, descargadores y múltiples puertas traseras de Linux. Entre estos se encuentran MINOCAT, SNOWLIGHT, COMPOOD, una variante actualizada de HISONIC que se integra con el tráfico legítimo mediante páginas de Cloudflare y GitLab, y una versión para Linux de ANGRYREBEL, también conocida como Noodle RAT.

Abuso posterior a la explotación y diversidad de carga útil

Tras obtener la ejecución inicial del código, los atacantes suelen ejecutar comandos arbitrarios para consolidar su presencia. Esto incluye el establecimiento de shells inversos a la infraestructura conocida de Cobalt Strike, la implementación de herramientas de monitorización y gestión remotas como MeshAgent, la modificación del archivo authorized_keys y la habilitación de inicios de sesión directos como root. Otras cargas útiles observadas durante estas operaciones incluyen VShell, EtherRAT, ShadowPad, XMRig y la implementación repetida de SNOWLIGHT.

Para evitar ser detectadas, las campañas suelen recurrir a los puntos finales del túnel de Cloudflare bajo el dominio trycloudflare.com, lo que permite que el tráfico de comando y control se mezcle con servicios legítimos. Posteriormente, se realiza un reconocimiento exhaustivo para mapear el entorno, facilitar el movimiento lateral e identificar credenciales valiosas.

Recopilación de credenciales en la nube y descubrimiento de secretos

Un objetivo principal de estos ataques es el robo de credenciales en entornos de nube. Se ha observado que los actores de amenazas consultan los servicios de metadatos de instancias de Azure, AWS, Google Cloud Platform y Tencent Cloud para obtener tokens de identidad y ampliar su acceso. También implementan herramientas de escaneo de secretos como TruffleHog y Gitleaks, junto con scripts personalizados, para extraer información confidencial. Esto incluye intentos de robar credenciales de IA y nativas de la nube, como claves de API de OpenAI, tokens de Databricks, secretos de cuentas de servicio de Kubernetes y tokens de acceso obtenidos mediante las herramientas de la CLI de Azure y la CLI de Azure Developer.

Explotación y exfiltración de datos de Next.js

En una campaña relacionada, los investigadores documentaron la explotación de múltiples vulnerabilidades de Next.js, incluyendo CVE-2025-29927 y CVE-2025-66478, siendo esta última un identificador anterior del mismo problema de React2Shell. Estos ataques se centraron en la extracción sistemática de archivos de configuración, variables de entorno, claves SSH, credenciales de la nube, datos de autenticación de Git, historial de comandos de shell y archivos sensibles del sistema como passwd y shadow. El malware también establece persistencia, instala un proxy SOCKS5, abre una shell inversa a 67.217.57.240 en el puerto 888 y despliega un escáner de React para buscar en internet objetivos vulnerables adicionales.

Operación PCPcat: escala e impacto

Se cree que la actividad combinada, rastreada bajo el nombre de Operación PCPcat, ya ha comprometido 59.128 servidores. Los analistas consideran que la campaña indica una recopilación de inteligencia a gran escala y una exfiltración de datos industrializada. Las mediciones actuales sugieren que más de 111.000 direcciones IP siguen siendo vulnerables a la explotación de React2Shell, con la mayor concentración en Estados Unidos, seguido de Alemania, Francia e India. La telemetría recopilada indica además que cientos de direcciones IP maliciosas en regiones como Estados Unidos, India, Reino Unido, Singapur y Países Bajos han participado activamente en intentos de explotación en un solo período de 24 horas.

Tendencias

Mas Visto

Cargando...