Se ha observado que dos grupos de hackers con vínculos con China utilizan como arma la falla de seguridad recientemente revelada en React Server Components (RSC) pocas horas después de que se hiciera pública.
La vulnerabilidad en cuestión es CVE-2025-55182 (puntuación CVSS: 10.0), también conocido como React 2 Shell , lo que permite ejecución remota de código no autenticada . Se ha abordado en las versiones 19.0.1, 19.1.2 y 19.2.1 de React.
Según un nuevo informe publicado por Amazon Web Services (AWS), se ha observado a dos actores de amenazas vinculados a China, conocidos como Earth Lamia y Jackpot Panda, que intentan aprovechar la falla de seguridad de máxima gravedad.
«Nuestro análisis de los intentos de explotación en la infraestructura honeypot de AWS MadPot ha identificado la actividad de explotación de direcciones IP e infraestructuras históricamente vinculadas a actores de amenazas conocidos por el nexo estatal de China», dijo CJ Moses, CISO de Amazon Integrated Security, dijo en un informe compartido con The Hacker News.
Específicamente, el gigante tecnológico dijo que identificó la infraestructura asociada con Tierra Lamia , un grupo relacionado con China que se atribuyó a ataques que aprovecharon una falla crítica de SAP NetWeaver (CVE-2025-31324) a principios de este año.
El equipo de piratas informáticos se ha centrado en sectores de los servicios financieros, la logística, el comercio minorista, las empresas de TI, las universidades y las organizaciones gubernamentales de América Latina, Oriente Medio y el sudeste asiático.
Los esfuerzos de ataque también se originaron en la infraestructura relacionada con otro actor de ciberamenazas del nexo con China conocido como Jackpot Panda , que se ha centrado principalmente en las entidades que participan en operaciones de juegos de azar en línea o las apoyan en el este y el sudeste asiático.
Según CrowdStrike, Jackpot Panda ha estado activo al menos desde 2020 y se ha centrado en las relaciones de confianza con terceros en un intento de implementar implantes maliciosos y obtener el acceso inicial. Cabe destacar que el actor de la amenaza fue conectada al compromiso de la cadena de suministro de una aplicación de chat conocida como Comm 100 en septiembre de 2022. ESET rastrea la actividad como Operación ChattyGoblin .
Desde entonces se supo que un contratista de hackeo chino, I-Soon, podría haber sido implicado en el ataque a la cadena de suministro , citando superposiciones de infraestructura . Curiosamente, los ataques organizados por el grupo en 2023 se han centrado principalmente en las víctimas de habla china, lo que indica una posible vigilancia doméstica.
«A partir de mayo de 2023, el adversario utilizó un instalador troyano para CloudChat, una aplicación de chat con sede en China popular entre las comunidades de juego ilegales de habla china en China continental», afirma CrowdStrike en su informe sobre amenazas globales publicado el año pasado.
«El instalador troyanizado ofrecido desde el sitio web de CloudChat contenía la primera etapa de un proceso de varios pasos que finalmente implementó xShade, un implante novedoso con un código que se superpone con el implante CPLrat único de Jackpot Panda».
Amazon dijo que también detectó que actores de amenazas se aprovechaban de 2025-55182 junto con otras fallas del día N, incluida una vulnerabilidad en NUUO Camera ( CVE-2025-1338 , puntuación CVSS: 7,3), lo que sugiere intentos más amplios de escanear Internet en busca de sistemas sin parches.
La actividad observada implica intentos de ejecutar comandos de detección (por ejemplo, whoami), escribir archivos (» /tmp/pwned.txt «) y leer archivos que contienen información confidencial (por ejemplo, «/etc/passwd»).
«Esto demuestra un enfoque sistemático: los actores de amenazas monitorean la divulgación de nuevas vulnerabilidades, integran rápidamente los exploits públicos en su infraestructura de escaneo y llevan a cabo amplias campañas sobre múltiples vulnerabilidades y exposiciones comunes (CVE) simultáneamente para maximizar sus posibilidades de encontrar objetivos vulnerables», dijo Moses.