reaccionar2shell Según nuevos hallazgos de Huntress, continúan produciéndose altos niveles de explotación, y los actores de amenazas explotan la mayor vulnerabilidad en React Server Components (RSC) para entregar mineros de criptomonedas y una serie de familias de malware previamente no documentadas.
Estos incluyen una puerta trasera de Linux llamada PeerBlight, un túnel de proxy inverso llamado CowTunnel y un implante post-explotación basado en Go llamado ZinFoq.
La empresa de ciberseguridad dijo que ha observado atacantes dirigidos a numerosas organizaciones a través de CVE-2025-55182, una vulnerabilidad crítica en RSC que permite la ejecución remota de código no autenticado. A partir del 8 de diciembre de 2025, estos esfuerzos se han dirigido a una amplia gama de sectores, pero particularmente a las industrias de la construcción y el entretenimiento.
El primer intento de explotación registrado de Huntress en un terminal de Windows se remonta al 4 de diciembre de 2025, cuando un actor de amenazas desconocido aprovechó una instancia vulnerable de Next.js para eliminar un script de shell, seguido de comandos para eliminar un minero de criptomonedas y una puerta trasera de Linux.
En dos casos adicionales, se observó a los atacantes lanzando comandos de detección e intentando descargar múltiples cargas útiles desde un servidor de comando y control (C2). Algunas de las infracciones notables también se dirigieron a los hosts Linux del minero de criptomonedas.
“Basándonos en el patrón consistente observado en múltiples puntos finales, incluidos escaneos de vulnerabilidades idénticos, pruebas de código shell e infraestructura C2, creemos que el actor de amenazas probablemente esté aprovechando herramientas de explotación automatizadas”, dijeron los investigadores de Huntress. “Esto se ve respaldado aún más por los intentos de implementar cargas útiles específicas de Linux en puntos finales de Windows, lo que sugiere que la automatización no diferencia entre los sistemas operativos de destino”.
Una breve descripción de algunas de las cargas útiles descargadas en estos ataques es la siguiente:
- sexo.shun script bash que extrae XMRig 6.24.0 directamente desde GitHub
- PeerBlightuna puerta trasera de Linux que comparte cierta superposición de código con dos familias de malware RotaJakiro y Pink que salieron a la luz en 2021 instala un servicio systemd para garantizar la persistencia y se disfraza de un proceso demonio “ksoftirqd” para evadir la detección.
- Túnel de vacasun proxy inverso que inicia una conexión saliente a servidores Fast Reverse Proxy (FRP) controlados por el atacante, evitando de manera efectiva los firewalls que están configurados para monitorear solo las conexiones entrantes.
- ZinFoqun binario ELF de Linux que implementa un marco de trabajo posterior a la explotación con shell interactivo, operaciones de archivos, pivotación de red y capacidades de sellado de tiempo.
- d5.shun script dropper responsable de implementar el marco Sliver C2
- fn22.shuna variante “d5.sh” con un mecanismo de actualización automática adicional para obtener una nueva versión del malware y reiniciarlo
- wocaosinm.shuna variante del malware Kaiji DDoS que incluye funciones de gestión remota, persistencia y evasión
PeerBlight admite funciones para establecer comunicación con un servidor C2 codificado (“185.247.224(.)41:8443”), lo que le permite cargar/descargar/eliminar archivos, crear un shell inverso, cambiar permisos de archivos, ejecutar archivos binarios arbitrarios y actualizarse. La puerta trasera también utiliza un algoritmo de generación de dominio (DGA) y una red de tabla hash distribuida BitTorrent (DHT) como mecanismos C2 alternativos.
“Al unirse a la red DHT, la puerta trasera se registra con un ID de nodo que comienza con el prefijo codificado LOLlolLOL”, explicaron los investigadores. “Este prefijo de 9 bytes sirve como identificador de la botnet, y los 11 bytes restantes del ID del nodo DHT de 20 bytes se seleccionan aleatoriamente”.
“Cuando la puerta trasera recibe respuestas DHT con listas de nodos, busca otros nodos cuyos ID comiencen con LOLlolLOL. Si encuentra un nodo coincidente, sabe que es otra computadora infectada o un nodo controlado por un atacante que puede proporcionar la configuración C2”.
Huntress dijo que identificó más de 60 nodos únicos con el prefijo LOLlolLOL, y agregó que se deben cumplir varias condiciones para que un bot infectado comparta su configuración C2 con otro nodo: una versión de cliente válida, disponibilidad de configuración en el lado del bot que responde y la ID de transacción correcta.
Incluso cuando se cumplen todas las condiciones necesarias, los bots están diseñados para compartir la configuración sólo alrededor de un tercio del tiempo, basándose en comprobaciones puntuales, tal vez para reducir el ruido de la red y evitar la detección.
ZinFoq informa de manera similar a su servidor C2 y es capaz de analizar instrucciones entrantes para ejecutar comandos usando /bin/bash, enumerar directorios, leer o eliminar archivos, descargar cargas adicionales de una URL específica, extraer archivos e información del sistema, iniciar/detener el proxy SOCKS5, habilitar/deshabilitar el reenvío de puertos TCP, cambiar el acceso a archivos y los tiempos de modificación y establecer una conexión de pseudo-terminal shell (PTY) inversa.
ZinFoq también toma medidas para borrar el historial de bash y se disfraza como uno de los 44 servicios legítimos del sistema Linux (por ejemplo, “/sbin/audispd”, “/usr/sbin/ModemManager”, “/usr/libexec/colord” o “/usr/sbin/cron -f”) para ocultar su presencia.
Se recomienda a las organizaciones que dependen de React-Server-Dom-Webpack, React-Server-Dom-Parcel o React-Server-Dom-Turbopack que actualicen inmediatamente dada la “potencial explotabilidad y gravedad de la vulnerabilidad”, dijo Huntress.
El desarrollo se produce después de que la Fundación Shadowserver dijera que descubrió más de 165.000 direcciones IP y 644.000 dominios con código vulnerable al 8 de diciembre de 2025, luego de “mejoras en la orientación del escaneo”. Más de 99.200 casos se encuentran en Estados Unidos, seguido de Alemania (14.100), Francia (6.400) e India (4.500).
About The Author
