diciembre 17, 2025
linux-react.jpg

La vulnerabilidad se conoce como reaccionar2shell está siendo explotado por actores de amenazas para difundir familias de malware como KSwapDoor y ZnDoor, según los hallazgos de Palo Alto Networks Unit 42 y NTT Security.

“KSwapDoor es una herramienta de acceso remoto desarrollada profesionalmente y diseñada pensando en el sigilo”, dijo en un comunicado Justin Moore, gerente senior de investigación de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks.

“Construye una red de malla interna que permite que los servidores comprometidos se comuniquen entre sí y eviten los bloqueos de seguridad. Utiliza cifrado de grado militar para ocultar sus comunicaciones y, lo más alarmante, tiene un “modo de suspensión” que permite a los atacantes eludir los cortafuegos activando el malware con una señal secreta e invisible”.

La firma de ciberseguridad señaló que anteriormente fue clasificada erróneamente como BPFDoor, y agregó que la puerta trasera de Linux proporciona shell interactivo, ejecución de comandos, operaciones de archivos y capacidades de escaneo de movimiento lateral. También se hace pasar por un demonio de intercambio de kernel de Linux legítimo para evitar la detección.

En un desarrollo relacionado, NTT Security dijo que las organizaciones en Japón están siendo víctimas de ataques cibernéticos que aprovechan React2Shell para implementar ZnDoor, un malware que se estima ha sido descubierto en la naturaleza desde diciembre de 2023. Las cadenas de ataque implican ejecutar un comando bash para recuperar y ejecutar la carga útil desde un servidor remoto (45.76.155(.)14) usando wget.

Ciberseguridad

Como troyano de acceso remoto, contacta con la misma infraestructura controlada por el actor de la amenaza para recibir comandos y ejecutarlos en el host. Algunos de los comandos admitidos se enumeran a continuación:

  • Shell para ejecutar un comando
  • Interactive_shell para iniciar un shell interactivo
  • Explorer para obtener una lista de directorios
  • explorer_cat para leer y mostrar un archivo
  • explorer_delete para eliminar un archivo
  • explorer_upload para descargar un archivo del servidor
  • explorer_download para enviar archivos al servidor
  • Sistema para recopilar información del sistema.
  • change_timefile para cambiar la marca de tiempo de un archivo
  • socket_quick_startstreams para iniciar un proxy SOCKS5
  • start_in_port_forward para iniciar el reenvío de puertos
  • stop_in_port para detener el reenvío de puertos

La divulgación llega en un momento en que la vulnerabilidad, rastreada como CVE-2025-55182 (puntaje CVSS: 10.0), ha sido explotada por múltiples actores de amenazas. Google ha identificado al menos cinco grupos nexo con China que han utilizado armas para entregar una variedad de cargas útiles.

  • UNC6600 proporciona una utilidad de túnel llamada MINOCAT
  • UNC6586 proporciona un descargador llamado SNOWLIGHT
  • UNC6588 para proporcionar una puerta trasera llamada COMPOOD
  • UNC6603 ofrece una versión actualizada de una puerta trasera Go llamada HISONIC, que utiliza Cloudflare Pages y GitLab para recuperar configuraciones cifradas e interferir con la actividad legítima de la red.
  • UNC6595 proporciona una versión para Linux de ANGRYREBEL (también conocido como Noodle RAT)

Microsoft dijo en su propio aviso para CVE-2025-55182 que los actores de amenazas explotaron la vulnerabilidad para ejecutar comandos de seguimiento arbitrarios. Esto incluyó la configuración de shells inversos en servidores Cobalt Strike conocidos y luego la eliminación de herramientas de administración y monitoreo remoto (RMM) como MeshAgent, la modificación del archivo autorizado_keys y la habilitación del inicio de sesión de root.

Las cargas útiles entregadas en estos ataques incluyen VShell, EtherRAT, SNOWLIGHT, ShadowPad y XMRig. Los ataques también se caracterizan por el uso de puntos finales de túnel de Cloudflare (“*.trycloudflare.com”) para eludir las medidas de seguridad, además de sondear los entornos comprometidos para facilitar el movimiento lateral y el robo de credenciales.

Ciberseguridad

La actividad de recolección de credenciales se centró en los puntos finales de Azure Instance Metadata Service (IMDS) para Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y Tencent Cloud, según el fabricante de Windows, con el objetivo final de adquirir tokens de identidad para penetrar más profundamente en las infraestructuras de la nube.

“Los atacantes también utilizaron herramientas de detección de secretos como TruffleHog y Gitleaks, así como scripts personalizados para extraer varios secretos”, dijo el equipo de investigación de seguridad de Microsoft Defender. “También se observaron intentos de recopilar credenciales de IA y nativas de la nube, como claves de API de OpenAI, tokens de Databricks y credenciales de cuentas de servicio de Kubernetes. También se utilizaron Azure Command-Line Interface (CLI) (az) y Azure Developer CLI (azd) para obtener tokens”.

En otra campaña descrita por Beelzebub, se observó que los actores de amenazas explotaban vulnerabilidades en Next.js, incluidas CVE-2025-29927 y CVE-2025-66478 (la misma falla de React2Shell antes de ser rechazada como duplicada), para permitir la extracción sistemática de credenciales y datos confidenciales.

  • .env, .env.local, .env.producción, .env.desarrollo
  • Variables de entorno del sistema (printenv, env)
  • Clave SSH (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*)
  • Credenciales en la nube (~/.aws/credentials, ~/.docker/config.json
  • Credenciales de Git (~/.git-credentials, ~/.gitconfig)
  • Historial de comandos (últimos 100 comandos de ~/.bash_history)
  • Archivos del sistema (/etc/shadow, /etc/passwd)

El malware también crea persistencia en el host para sobrevivir a los reinicios del sistema, instala un proxy SOCKS5, configura un shell inverso para “67.217.57(.)240:888” e instala un escáner React para escanear Internet para una mayor propagación.

Se estima que la actividad, denominada Operación PCPcat, ya ha atacado 59.128 servidores. “La campaña tiene características de operaciones de inteligencia a gran escala y exfiltración de datos a escala industrial”, dijo la empresa italiana.

La Fundación Shadowserver actualmente rastrea más de 111.000 direcciones IP vulnerables a ataques React2Shell, con más de 77.800 instancias en los EE. UU., seguido de Alemania (7.500), Francia (4.000) e India (2.300). Los datos de GreyNoise muestran que 547 direcciones IP maliciosas de EE. UU., India, Reino Unido, Singapur y Países Bajos estuvieron involucradas en los esfuerzos de explotación en las últimas 24 horas.

About The Author

desafiomayor

See author's posts

Related News

aws.jpg

Las credenciales de IAM comprometidas están impulsando una importante campaña de criptominería de AWS

diciembre 17, 2025 0
nuget.jpg

El paquete Rogue NuGet se hace pasar por Tracer.Fody y roba datos de billeteras de criptomonedas

diciembre 16, 2025 0

You may have missed

Lisa-Qian.jpg

Movimientos tecnológicos: Seattle contrata al primer oficial de IA; Microsoft nombra líder de medios de IA; DexCare nombra CPO

diciembre 17, 2025 0
Blank-Slate-Profile_web.jpg

Slate supera las 150.000 reservas a pesar del menguante entusiasmo por los camiones eléctricos

diciembre 17, 2025 0
Screenshot_2025-12-16_at_1.15.51E280AFPM.png

YouTube permite a los desarrolladores crear juegos jugables utilizando una herramienta Gemini 3

diciembre 17, 2025 0
6103d3c0-dab2-11f0-bdff-d570c6a398df.jpeg

Las suscripciones anuales de Crunchyroll están a la venta para las fiestas

diciembre 17, 2025 0
b5f6b930-dab0-11f0-8dff-b9a40276cb17.png

Netflix pronto comenzará a transmitir podcasts de vídeo como “The Breakfast Club”.

diciembre 17, 2025 0
openai-image-mode-1-5.png

OpenAI acaba de presentar un nuevo modelo de imágenes de IA en ChatGPT para competir con Nano Banana de Google

diciembre 17, 2025 0