Se observó que dos grupos de piratas informáticos vinculados a China utilizaban como arma una falla de seguridad recientemente revelada en React Server Components (RSC) pocas horas después de que se hiciera pública.
La vulnerabilidad en cuestión es CVE-2025-55182 (puntuación CVSS: 10.0), también conocida como React2Shell, que permite la ejecución remota de código no autenticado. Este problema se soluciona en las versiones 19.0.1, 19.1.2 y 19.2.1 de React.
Se ha observado que dos actores de amenazas vinculados a China conocidos como Earth Lamia y Jackpot Panda intentan explotar fallas de seguridad de máxima gravedad, según un nuevo informe compartido por Amazon Web Services (AWS).
«Nuestro análisis de los intentos de explotación en la infraestructura de honeypot de AWS MadPot identificó actividad de explotación de direcciones IP e infraestructura históricamente asociadas con conocidos actores de amenazas alineados con el estado chino», dijo CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Específicamente, el gigante tecnológico dijo que ha identificado infraestructura asociada con Earth Lamia, un grupo alineado con China, que se cree que surgió de un ataque a principios de este año que aprovechó una falla crítica en SAP NetWeaver (CVE-2025-31324).
El grupo de hackers se centró en sectores como servicios financieros, logística, comercio minorista, empresas de TI, universidades y agencias gubernamentales en América Latina, Medio Oriente y el Sudeste Asiático.
Esta campaña también surge de la infraestructura asociada con otro actor de amenazas cibernéticas vinculado a China conocido como Jackpot Panda, que identifica organizaciones que se dedican principalmente a o apoyan operaciones de juegos de azar en línea en el este y sudeste de Asia.
Según CrowdStrike, se estima que Jackpot Panda ha estado activo desde al menos 2020, apuntando a relaciones de terceros confiables para implementar implantes maliciosos y obtener acceso inicial. Específicamente, este actor de amenazas estuvo involucrado en una violación de la cadena de suministro de una aplicación de chat conocida como Comm100 en septiembre de 2022. ESET rastrea esta actividad como Operación Duende Hablador.
Más tarde se reveló que el contratista de piratería chino I-Soon pudo haber estado involucrado en el ataque a la cadena de suministro debido a la duplicación de la infraestructura. Curiosamente, los ataques lanzados por este grupo en 2023 se centraron principalmente en víctimas de habla china, lo que indica el potencial de vigilancia interna.
«A partir de mayo de 2023, los atacantes utilizaron un instalador troyanizado para CloudChat, una aplicación de chat con sede en China popular en la comunidad ilegal de juegos de azar de habla china de China continental», dijo CrowdStrike en su Informe de amenazas globales publicado el año pasado.
«El instalador troyanizado proporcionado por el sitio web CloudChat contenía la primera etapa de un proceso de varios pasos que finalmente implementó XShade, un nuevo implante con código que se superponía con el propio implante CplRAT de Jackpot Panda».
Amazon anunció que también detectó atacantes que explotaban 2025-55182, junto con otras fallas de día N, incluida la vulnerabilidad de la cámara NUUO (CVE-2025-1338, puntuación CVSS: 7,3), lo que sugiere esfuerzos generalizados para escanear Internet en busca de sistemas sin parches.
La actividad observada incluye intentos de ejecutar comandos de descubrimiento (por ejemplo, whoami), escribir archivos (por ejemplo, «/tmp/pwned.txt») y leer archivos que contienen información confidencial (por ejemplo, «/etc/passwd»).
«Esto representa un enfoque sistemático en el que los actores de amenazas monitorean la divulgación de nuevas vulnerabilidades, integran rápidamente exploits disponibles públicamente en su infraestructura de escaneo y llevan a cabo campañas amplias a través de múltiples vulnerabilidades y exposiciones comunes (CVE) simultáneamente para maximizar sus posibilidades de descubrir objetivos vulnerables», dijo Moses.
Source link
