React 2 Shell continúa para presenciar una fuerte explotación, ya que los actores de amenazas aprovechan la falla de seguridad de máxima gravedad en React Server Components (RSC) para atacar a los mineros de criptomonedas y a una serie de familias de malware previamente indocumentadas, según nuevos hallazgos de Huntress.
Esto incluye una puerta trasera de Linux llamada PeerBlight, un túnel de proxy inverso llamado CowTunnel y un implante posterior a la explotación basado en Go denominado ZinfoQ.
La empresa de ciberseguridad dijo que había observado que los atacantes atacaban a numerosas organizaciones a través del CVE-2025-55182, una vulnerabilidad de seguridad crítica en RSC que permite la ejecución remota de código sin autenticar. Al 8 de diciembre de 2025, estos esfuerzos se dirigieron a una amplia gama de sectores, pero de manera destacada a las industrias de la construcción y el entretenimiento.
El primer intento de explotación registrado en un punto final de Windows por parte de Huntress se remonta al 4 de diciembre de 2025, cuando un actor de amenazas desconocido explotó una instancia vulnerable de Next.js para soltar un script de shell, seguido de comandos para eliminar un minero de criptomonedas y un backdoor de Linux.
En otros dos casos, se observó que los atacantes lanzaban comandos de detección e intentaban descargar varias cargas útiles desde un servidor de comando y control (C2). Algunas de las intrusiones más notables también se centraron en servidores Linux para eliminar el minero de criptomonedas XMRig, sin mencionar que utilizaron una herramienta de GitHub disponible al público para identificar las instancias vulnerables de Next.js antes de iniciar el ataque.
«Basándonos en el patrón uniforme observado en varios puntos finales, incluidas las sondas de vulnerabilidad idénticas, las pruebas de código shell y la infraestructura C2, evaluamos que es probable que el actor de la amenaza esté aprovechando las herramientas de explotación automatizadas», afirman los investigadores de Huntress. «Esto se ve respaldado además por los intentos de implementar cargas útiles específicas para Linux en los terminales Windows, lo que indica que la automatización no diferencia entre los sistemas operativos de destino».
Una breve descripción de algunas de las cargas útiles descargadas en estos ataques es la siguiente:
- sex.sh , un script de bash que recupera XMRig 6.24.0 directamente desde GitHub
- Plaga de pares , un backdoor de Linux que comparte parte del código se superpone con dos familias de malware Rota Jakiro y Rosado que salió a la luz en 2021, instala un servicio systemd para garantizar la persistencia y se hace pasar por» ksoftirad «proceso daemon para evadir la detección
- Túnel de vacas , un proxy inverso que inicia una conexión saliente a servidores Fast Reverse Proxy (FRP) controlados por un atacante, evitando de manera efectiva los firewalls que están configurados para monitorear solo las conexiones entrantes
- Zin FQ , un binario ELF de Linux que implementa un marco posterior a la explotación con funciones interactivas de shell, operaciones de archivos, rotación de red y reducción de tiempos
- d5.sh , un script de dropper responsable de implementar el marco Sliver C2
- fn22.sh , una variante de "d5.sh" con un mecanismo adicional de actualización automática para buscar una nueva versión del malware y reiniciarla
- wocaosinm.sh , una variante del Kaiji DDoS malware que incorpora capacidades de administración remota, persistencia y evasión
PeerBlight admite la capacidad de establecer comunicaciones con un servidor C2 codificado de forma rígida («185.247.224 [.] 41:8443»), lo que le permite cargar, descargar o eliminar archivos, generar un shell inverso, modificar los permisos de los archivos, ejecutar archivos binarios arbitrarios y actualizarse a sí mismo. La puerta trasera también utiliza un algoritmo de generación de dominios (DGA) y una red de tablas hash distribuidas (DHT) de BitTorrent como mecanismos C2 alternativos.
«Al unirse a la red DHT, la puerta trasera se registra con un ID de nodo que comienza con el prefijo codificado lolLollol», explicaron los investigadores. «Este prefijo de 9 bytes sirve como identificador para la botnet, y los 11 bytes restantes del identificador del nodo DHT de 20 bytes son aleatorios».
«Cuando la puerta trasera recibe respuestas DHT que contienen listas de nodos, busca otros nodos cuyos ID comiencen por lollollol. Cuando encuentra un nodo coincidente, sabe que se trata de otra máquina infectada o de un nodo controlado por un atacante que puede proporcionar la configuración C2».
Huntress dijo que identificó más de 60 nodos únicos con el prefijo LolLollol y agregó que se deben cumplir varias condiciones para que un bot infectado comparta su configuración C2 con otro nodo: una versión de cliente válida, disponibilidad de configuración por parte del bot que responde y el ID de transacción correcto.
Incluso cuando se cumplen todas las condiciones necesarias, los bots están diseñados de manera que solo comparten la configuración aproximadamente un tercio del tiempo basándose en una verificación aleatoria, posiblemente en un intento por reducir el ruido de la red y evitar la detección.
ZinfoQ, de manera similar, se dirige a su servidor C2 y está equipado para analizar las instrucciones entrantes para ejecutar comandos con «/bin/bash», enumerar directorios, leer o eliminar archivos, descargar más cargas útiles de una URL específica, filtrar archivos e información del sistema, iniciar o detener el proxy SOCKS5, habilitar o deshabilitar el reenvío de puertos TCP, modificar los tiempos de acceso y modificación de los archivos y establecer un pseudoterminal inverso (conexión a la carcasa (PTY).
ZinfoQ también toma medidas para borrar el historial de bash y se disfraza de uno de los 44 servicios legítimos del sistema Linux (por ejemplo, «/sbin/audispd», «/usr/sbin/ModemManager», «/usr/libexec/colord» o «/usr/sbin/cron -f») para ocultar su presencia.
Se recomienda a las organizaciones que confían en react-server-dom-webpack, react-server-dom-parcel o react-server-dom-turbopack que actualicen de inmediato, dada la «posible facilidad de explotación y la gravedad de la vulnerabilidad», dijo Huntress.
El desarrollo se presenta como la Fundación Shadowserver dijo eso detectado más de 165 000 direcciones IP y 644 000 dominios con código vulnerable al 8 de diciembre de 2025, tras las «mejoras en la segmentación de los escaneos». Más de 99.200 instancias se encuentran en EE. UU., seguidos de Alemania (14 100), Francia (6 400) e India (4 500).