React2Shell continúa siendo objeto de una intensa explotación, y los actores de amenazas aprovechan las fallas de seguridad de mayor gravedad en los componentes del servidor React (RSC) para ofrecer mineros de criptomonedas y una variedad de familias de malware previamente no documentadas, según una nueva investigación de Huntress.
Esto incluye una puerta trasera de Linux llamada PeerBlight, un túnel de proxy inverso llamado CowTunnel y un implante post-explotación basado en Go llamado ZinFoq.
La firma de ciberseguridad dijo que ha observado atacantes dirigidos a numerosas organizaciones a través de CVE-2025-55182, una vulnerabilidad de seguridad crítica en RSC que permite la ejecución remota de código no autenticado. A partir del 8 de diciembre de 2025, estas iniciativas cubren una amplia gama de sectores, pero particularmente las industrias de la construcción y el entretenimiento.
El primer intento de explotación de Huntress en terminales de Windows se remonta al 4 de diciembre de 2025. Esta vez, un atacante desconocido aprovechó una instancia vulnerable de Next.js para eliminar un script de shell, seguido de comandos para eliminar un minero de criptomonedas y una puerta trasera de Linux.
En otros dos casos, se observó que el atacante intentaba ejecutar comandos de descubrimiento y descargar algunas cargas útiles desde servidores de comando y control (C2). Algunas intrusiones notables incluyeron colocar el minero de criptomonedas XMRig en un host Linux y aprovechar las herramientas de GitHub disponibles públicamente para identificar instancias vulnerables de Next.js antes de lanzar un ataque.
«Basándonos en patrones consistentes observados en múltiples puntos finales, incluidas sondas de vulnerabilidad idénticas, pruebas de shellcode e infraestructura C2, evaluamos que los actores de amenazas probablemente estén aprovechando herramientas de explotación automatizadas», dijeron los investigadores de Huntress. «Esto se ve respaldado además por los intentos de implementar cargas útiles específicas de Linux en puntos finales de Windows, lo que indica que la automatización no diferencia entre los sistemas operativos de destino».
Una breve descripción de algunas de las cargas útiles descargadas en estos ataques es la siguiente:
sex.sh, un script bash que recupera XMRig 6.24.0 directamente de GitHub PeerBlight, una puerta trasera de Linux que comparte código con dos familias de malware descubiertas en 2021, RotaJakiro y Pink, instala un servicio systemd para persistencia y se disfraza como un proceso demonio «ksoftirqd» para evitar la detección CowTunnel, un inverso que inicia conexiones salientes Ataques contra Fast Reverse Proxy (FRP) controlado por el atacante servidores que evitan eficazmente los firewalls configurados para monitorear solo las conexiones entrantes de proxy ZinFoq (binario Linux ELF que implementa un marco de trabajo posterior a la explotación con shell interactivo, manipulación de archivos, pivote de red y capacidades de control de tiempo) d5.sh (script dropper responsable de implementar el marco Sliver C2) fn22.sh (variante de «d5.sh» con mecanismo de actualización automática agregado) Obtiene una nueva versión de malware y se reinicia. wocaosinm.sh es una variante del malware Kaiji DDoS que incorpora capacidades de gestión remota, persistencia y evasión.
PeerBlight admite la capacidad de establecer comunicación con un servidor C2 codificado (‘185.247.224(.)41:8443’), lo que le permite cargar/descargar/eliminar archivos, generar un shell inverso, cambiar permisos de archivos, ejecutar binarios arbitrarios y actualizar el servidor. Esta puerta trasera también utiliza el algoritmo de generación de dominio (DGA) y la red BitTorrent Distributed Hash Table (DHT) como mecanismo C2 alternativo.
«Al unirse a la red DHT, la puerta trasera se registra utilizando un ID de nodo que comienza con el prefijo codificado LOLlolLOL», explicaron los investigadores. «Este prefijo de 9 bytes sirve como identificador de botnet, y los 11 bytes restantes del ID del nodo DHT de 20 bytes son aleatorios».
«Cuando la puerta trasera recibe una respuesta DHT que contiene una lista de nodos, busca otros nodos cuyos ID comiencen con LOLlolLOL. Si encuentra una coincidencia, sabe que es otra máquina infectada o un nodo controlado por un atacante que puede proporcionar la configuración C2».
Huntress dijo que han identificado más de 60 nodos únicos con el prefijo LOLlolLOL, y agregó que para que un bot infectado comparta su configuración C2 con otro nodo, se deben cumplir múltiples condiciones, incluida una versión de cliente válida, disponibilidad de la configuración en el lado del bot que responde y una ID de transacción correcta.
Incluso si se cumplen todas las condiciones necesarias, el bot está diseñado para compartir su configuración solo un tercio del tiempo basándose en comprobaciones aleatorias, presumiblemente para reducir el ruido de la red y evitar la detección.
ZinFoq utiliza un método similar para enviar balizas al servidor C2, analizar instrucciones recibidas y ejecutar comandos usando «/bin/bash», enumerar directorios, leer o eliminar archivos, descargar cargas útiles adicionales de URL especificadas, extraer archivos e información del sistema, iniciar/detener servidores proxy SOCKS5, habilitar/deshabilitar el reenvío de puertos TCP, modificar el acceso a archivos y los tiempos de modificación, pseudoterminal inverso (PTY). Tiene la capacidad de establecer conexiones de shell.
ZinFoq también toma medidas para borrar el historial de bash y oculta su existencia haciéndose pasar por uno de los 44 servicios legítimos del sistema Linux (como «/sbin/audispd», «/usr/sbin/ModemManager», «/usr/libexec/colord» o «/usr/sbin/cron -f»).
Huntress dijo que se anima a las organizaciones que dependen de reaccionar-servidor-dom-webpack, reaccionar-servidor-dom-parcel o reaccionar-servidor-dom-turbopack a actualizar inmediatamente debido a la «facilidad de explotación y gravedad de las vulnerabilidades».
El desarrollo se produce después de que la Fundación Shadowserver anunciara que había detectado más de 165.000 direcciones IP y 644.000 dominios que contenían código vulnerable hasta el 8 de diciembre de 2025 después de «mejorar los objetivos de escaneo». Más de 99.200 casos se encuentran en Estados Unidos, seguido de Alemania (14.100), Francia (6.400) e India (4.500).
Source link
