Se vio a dos grupos de piratas informáticos con vínculos con China armando la vulnerabilidad recién descubierta en React Server Components (RSC) pocas horas después de que se hiciera pública.
La vulnerabilidad en cuestión es CVE-2025-55182 (puntuación CVSS: 10.0), también conocida como React2Shell, que permite la ejecución remota de código no autenticado. Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de React.
Según un nuevo informe de Amazon Web Services (AWS), se observó que dos actores de amenazas vinculados a China, llamados Earth Lamia y Jackpot Panda, intentaban explotar la vulnerabilidad de mayor gravedad.
“Nuestro análisis de los intentos de explotación de la infraestructura del honeypot de AWS MadPot ha identificado la actividad de explotación de direcciones IP e infraestructura que históricamente se han asociado con conocidos actores de amenazas del nexo estatal chino”, dijo CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Específicamente, el gigante tecnológico dijo que había identificado la infraestructura asociada con Earth Lamia, un grupo nexo de China que se atribuyó a ataques que explotaron una falla crítica de SAP NetWeaver (CVE-2025-31324) a principios de este año.
El grupo de hackers se ha dirigido a sectores como los servicios financieros, la logística, el comercio minorista, las empresas de TI, las universidades y las organizaciones gubernamentales en América Latina, Oriente Medio y el Sudeste Asiático.
Los esfuerzos de ataque también se originaron en la infraestructura asociada con otro actor de amenaza cibernética de China Nexus llamado Jackpot Panda, que se ha dirigido principalmente a empresas involucradas o que apoyan los juegos de azar en línea en el este y sudeste de Asia.
Según CrowdStrike, se cree que Jackpot Panda ha estado activo desde al menos 2020 y se ha dirigido a terceros de confianza para implementar implantes maliciosos y obtener el primer acceso. Específicamente, el actor de amenazas fue vinculado al compromiso de la cadena de suministro de una aplicación de chat llamada Comm100 en septiembre de 2022. ESET está rastreando la actividad como Operación ChattyGoblin.
Desde entonces, se supo que un proveedor de servicios de piratería chino llamado I-Soon podría haber estado involucrado en el ataque a la cadena de suministro, citando superposiciones en la infraestructura. Curiosamente, los ataques del grupo en 2023 se centraron principalmente en víctimas de habla china, lo que sugiere una posible vigilancia interna.
“A partir de mayo de 2023, el atacante utilizó un instalador troyanizado para CloudChat, una aplicación de chat con sede en China popular entre las comunidades ilegales de juego de habla china en China continental”, dijo CrowdStrike en su Informe de amenazas globales publicado el año pasado.
“El instalador troyanizado proporcionado por el sitio web CloudChat contenía la primera fase de un proceso de varios pasos que finalmente implementó XShade, un novedoso implante con código que se superpone con el exclusivo implante CplRAT de Jackpot Panda”.
Amazon dijo que también descubrió actores de amenazas que explotan 2025-55182 junto con otras vulnerabilidades de N-Day, incluida una vulnerabilidad en NUUO Camera (CVE-2025-1338, puntuación CVSS: 7,3), lo que sugiere intentos más amplios de escanear Internet en busca de sistemas sin parches.
La actividad observada incluye intentos de ejecutar comandos de descubrimiento (por ejemplo, whoami), escribir archivos (“/tmp/pwned.txt”) y leer archivos que contienen información confidencial (por ejemplo, “/etc/passwd”).
“Esto demuestra un enfoque sistemático: los actores de amenazas monitorean nuevas revelaciones de vulnerabilidades, integran rápidamente exploits públicos en su infraestructura de escaneo y llevan a cabo campañas integrales en múltiples vulnerabilidades y exposiciones comunes (CVE) simultáneamente para maximizar sus posibilidades de encontrar objetivos vulnerables”, dijo Moses.
About The Author
