Según los hallazgos de Palo Alto Networks Unit 42 y NTT Security, los actores de amenazas están explotando una vulnerabilidad de seguridad conocida como React2Shell para distribuir familias de malware como KSwapDoor y ZnDoor.
«KSwapDoor es una herramienta de acceso remoto diseñada profesionalmente teniendo en cuenta el sigilo», dijo en un comunicado Justin Moore, gerente senior de investigación de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks.
«Construye una red de malla interna, lo que permite que los servidores comprometidos se comuniquen entre sí y eviten los bloqueos de seguridad. Utiliza cifrado de grado militar para ocultar las comunicaciones y, lo más sorprendente, presenta un modo ‘inactivo’ que permite a los atacantes activar el malware con señales secretas e invisibles y evitar los firewalls».
La firma de ciberseguridad señaló que anteriormente se clasificó incorrectamente como BPFDoor, y agregó que la puerta trasera de Linux proporciona un shell interactivo, ejecución de comandos, manipulación de archivos y capacidades de escaneo de movimientos laterales. También se hace pasar por un demonio de intercambio de kernel de Linux legítimo para evadir la detección.
En un desarrollo relacionado, NTT Security dijo que las organizaciones japonesas han sido blanco de ataques cibernéticos que aprovechan React2Shell para implementar ZnDoor, un malware que se ha detectado en estado salvaje desde diciembre de 2023. La cadena de ataque implica el uso de wget para ejecutar un comando bash que recupera la carga útil de un servidor remoto (45.76.155(.)14) y la ejecuta.
Los troyanos de acceso remoto se conectan a la misma infraestructura controlada por el atacante para recibir comandos y ejecutarlos en el host. Algunos de los comandos admitidos se enumeran a continuación.
shell, ejecutar un comando, Interactive_shell, iniciar un shell interactivo, explorer_cat, obtener una lista de directorios, explorer_cat, leer y mostrar archivos, explorer_delete, eliminar archivos, explorer_upload, descargar archivos del servidor explorer_download, envía el archivo al sistema del servidor, recopila información del sistema, change_timefile, cambia la marca de tiempo del archivo, socket_quick_startstreams, inicia el proxy SOCKS5 start_in_port_forward, inicia el reenvío de puertos stop_in_port, detener el reenvío de puertos
La divulgación se produce cuando la vulnerabilidad, rastreada como CVE-2025-55182 (puntaje CVSS: 10.0), está siendo explotada por múltiples atacantes, y Google ha identificado al menos cinco grupos vinculados a China que la han convertido en un arma para entregar una variedad de cargas útiles.
UNC6600 Distribuye una utilidad de túnel llamada MINOCAT UNC6586 Distribuye un descargador llamado SNOWLIGHT UNC6588 Distribuye una puerta trasera llamada COMPOOD UNC6603 Utiliza Cloudflare Pages y GitLab para recuperar la configuración cifrada y combinarla con actividad de red legítima Distribuye una versión actualizada de una puerta trasera Go llamada HISONIC UNC6595 Distribuye una versión Linux de Rat que entrega ANGRYREBEL (también conocido como Noodle)
Microsoft dijo en su propio aviso para CVE-2025-55182 que los atacantes están utilizando esta falla para ejecutar comandos arbitrarios posteriores a la explotación, incluida la configuración de un shell inverso en servidores Cobalt Strike conocidos, eliminando herramientas de administración y monitoreo remoto (RMM) como MeshAgent, modificando el archivo autorizado_keys y habilitando el inicio de sesión de root.
Las cargas útiles entregadas en estos ataques incluyen VShell, EtherRAT, SNOWLIGHT, ShadowPad y XMRig. Este ataque también incluye el uso de puntos finales de túnel de Cloudflare (‘*.trycloudflare.com’) para evadir las defensas de seguridad, así como el reconocimiento del entorno comprometido para facilitar el movimiento lateral y el robo de credenciales.
Según el fabricante de Windows, esta campaña de recolección de credenciales se dirigió a los puntos finales de Azure Instance Metadata Service (IMDS) en Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y Tencent Cloud, con el objetivo final de obtener tokens de identificación para penetrar más profundamente en la infraestructura de la nube.
«Los atacantes también implementaron herramientas de descubrimiento de secretos como TruffleHog y Gitleaks, así como scripts personalizados para extraer varios secretos diferentes», dijo el equipo de investigación de seguridad de Microsoft Defender. «También observamos intentos de recopilar credenciales de IA y nativas de la nube, incluidas claves de API de OpenAI, tokens de Databricks y credenciales de cuentas de servicio de Kubernetes. También se utilizaron la interfaz de línea de comandos (CLI) de Azure (az) y la CLI de desarrollador de Azure (azd) para obtener tokens».
En otra campaña detallada por Beelzebub, se observó que los atacantes explotaban fallas en Next.js, incluidas CVE-2025-29927 y CVE-2025-66478 (el mismo error de React2Shell antes de ser rechazado como duplicado), lo que permitía la filtración sistemática de credenciales y datos confidenciales.
.env, .env.local, .env.production, .env.development Variables de entorno del sistema (printenv, env) Claves SSH (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*) Credenciales de nube (~/.aws/credentials, ~/.docker/config.json Credenciales de Git) (~/.git-credentials, ~/.gitconfig) Historial de comandos (Últimos 100 comandos en ~/.bash_history) Archivos del sistema (/etc/shadow, /etc/passwd)
El malware también crea persistencia en el host para sobrevivir a los reinicios del sistema, instala un proxy SOCKS5, establece un shell inverso para ‘67.217.57(.)240:888’ e instala un escáner React para sondear Internet en busca de una mayor propagación.
Se estima que la campaña, cuyo nombre en código es «Operación PCPcat», ya ha comprometido 59.128 servidores. «Esta campaña muestra las características de una operación de espionaje a gran escala y de exfiltración de datos a escala industrial», afirmó la empresa italiana.
La Fundación Shadowserver actualmente rastrea más de 111.000 direcciones IP vulnerables a ataques React2Shell, con más de 77.800 en los Estados Unidos, seguido de Alemania (7.500), Francia (4.000) e India (2.300). Según datos de GreyNoise, se encontró que 547 direcciones IP maliciosas de EE. UU., India, Reino Unido, Singapur y Países Bajos participaban en actividades de explotación en las últimas 24 horas.
Source link
