La vulnerabilidad de seguridad conocida como React 2 Shell está siendo explotado por los actores de amenazas para distribuir familias de malware como KswapDoor y ZnDoor, según los hallazgos de Palo Alto Networks Unit 42 y NTT Security.

«KswapDoor es una herramienta de acceso remoto diseñada profesionalmente pensando en el sigilo», dijo Justin Moore, gerente sénior de investigación de inteligencia sobre amenazas de la Unidad 42 de Palo Alto Networks.

«Crea una red de malla interna que permite a los servidores comprometidos comunicarse entre sí y evadir los bloqueos de seguridad. Utiliza un cifrado de nivel militar para ocultar sus comunicaciones y, lo que es más alarmante, cuenta con un modo «inactivo» que permite a los atacantes eludir los firewalls al activar el malware con una señal secreta e invisible».

Moore dijo a The Hacker News que la puerta trasera se ha identificado en dos regiones e industrias distintas, y que es probable que sea obra de actores estatales chinos, basándose en la estructura del código del malware y la superposición funcional con las puertas traseras anteriores de Linux, junto con otras herramientas utilizadas por los adversarios de la región.

«Este tamaño limitado es consistente con el comportamiento de una puerta trasera sofisticada y diseñada a medida», agregó Moore. «Los actores de amenazas rara vez se arriesgan a exponer herramientas tan cuidadosamente redactadas y diseñadas en campañas generalizadas, sino que las reservan para una segmentación precisa y de alto valor».

La empresa de ciberseguridad apuntado que anteriormente se clasificó erróneamente como Puerta BPF , añadiendo que la puerta trasera de Linux ofrece capacidades interactivas de shell, ejecución de comandos, operaciones de archivos y escaneo de movimiento lateral. También se hace pasar por un demonio legítimo de intercambio de núcleos de Linux para evitar ser detectado.

La clasificación errónea inicial de SwapDoor como BPFDoor, según Moore, se debió al uso de una técnica llamada Raw Socket Sniffing, que permite a las cepas de malware leer el tráfico de la red directamente desde el cable sin abrir un puerto visible. Vale la pena señalar que BPFDoor es diseñada para crear un conector especial de detección de paquetes que supervise el tráfico entrante con una secuencia específica de Magic Byte para activar su comportamiento malicioso.

«Como descubrimos este código de 'escucha' específico dentro de KswapDoor, inicialmente lo marcamos como BPFDoor basándonos en esa firma compartida», explica Moore. «Sin embargo, la realidad es que KswapDoor incluye esta función de rastreo simplemente como un método inactivo de entrada de respaldo; su motor principal es, en realidad, un sofisticado router punto a punto que permite realizar movimientos laterales complejos, una capacidad de la que BPFDoor carece por completo».

En un desarrollo relacionado, NTT Security dijo las organizaciones de Japón están siendo blanco de ciberataques que aprovechan React2Shell para implementar ZnDoor, un malware que, según se ha evaluado, se ha detectado en estado salvaje desde diciembre de 2023. Las cadenas de ataque implican ejecutar un comando bash para obtener la carga útil de un servidor remoto (45.76.155 [.] 14) mediante wget y ejecutarlo.

Como troyano de acceso remoto, contacta con la misma infraestructura controlada por los actores de amenazas para recibir comandos y ejecutarlos en el host. A continuación se enumeran algunos de los comandos compatibles:

  • shell, para ejecutar un comando
  • interactive_shell, para lanzar un shell interactivo
  • explorer, para obtener una lista de directorios
  • explorer_cat, para leer y mostrar un archivo
  • explorer_delete, para eliminar un archivo
  • explorer_upload, para descargar un archivo del servidor
  • explorer_download, para enviar archivos al servidor
  • sistema, para recopilar información del sistema
  • change_timefile, para cambiar la marca de tiempo de un archivo
  • socket_quick_startstreams, para iniciar un proxy SOCKS5
  • start_in_port_forward, para iniciar el reenvío de puertos
  • stop_in_port, para detener el reenvío de puertos

La divulgación se produce cuando la vulnerabilidad, rastreada como CVE-2025-55182 (puntuación CVSS: 10.0), ha sido explotado por parte de múltiples actores de amenazas, Google identificando al menos cinco grupos relacionados con China que lo han convertido en armas para distribuir una serie de cargas útiles -

  • UNC6600, para ofrecer una utilidad de construcción de túneles denominada MINOCAT
  • UNC6586, para entregar un descargador llamado LUZ DE NIEVE
  • UNC6588, para entregar una puerta trasera llamada COMPOOD
  • UNC6603, para ofrecer una versión actualizada de una puerta trasera de Go llamada HISONIC que usa Cloudflare Pages y GitLab para recuperar la configuración cifrada y combinarla con la actividad legítima de la red
  • UNC6595, para entregar una versión Linux de ANGRYREBEL (también conocido como Noodle RAT)

Microsoft, en su propio aviso para el CVE-2025-55182, afirmó que los actores de amenazas han aprovechado la falla para ejecutar comandos arbitrarios con fines posteriores a la explotación, incluida la configuración de capas inversas en servidores Cobalt Strike conocidos y, a continuación, la eliminación de herramientas de monitoreo y administración remotas (RMM) como MeshaGent, la modificación del archivo authorized_keys y la habilitación del inicio de sesión como root.

Algunas de las cargas útiles entregadas en estos ataques incluyen vShell, EtherRAT, SNOWLIGHT, ShadowPad y XMRig. Los ataques también se caracterizan por el uso de los puntos finales de los túneles de Cloudflare («*.trycloudflare.com») para eludir las defensas de seguridad, así como por realizar reconocimientos de los entornos comprometidos para facilitar el movimiento lateral y el robo de credenciales.

La actividad de recolección de credenciales, según el fabricante de Windows, se dirigió a los puntos finales del Servicio de Metadatos de Instancias de Azure (IMDS) para Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y Tencent Cloud, con el objetivo final de adquirir tokens de identidad para adentrarse más en las infraestructuras de nube.

«Los atacantes también utilizaron herramientas de descubrimiento de secretos, como TruffleHog y Gitleaks, junto con scripts personalizados para extraer varios secretos diferentes», dijo el equipo de investigación de seguridad de Microsoft Defender dijo . «También se observaron intentos de recopilar credenciales nativas de la nube y de IA, como las claves de API de OpenAI, los tokens de Databricks y las credenciales de cuentas de servicio de Kubernetes. También se utilizaron la interfaz de línea de comandos (CLI) (az) de Azure y la CLI para desarrolladores de Azure (azd) para obtener los tokens».

En otra campaña detallada de Beelzebub, se ha observado que los actores de amenazas explotan las fallas en Next.js, que incluyen CVE-2025-29927 y CVE-2025-66478 (el mismo error de React2Shell antes de que se rechazara por duplicado), para permitir la extracción sistemática de credenciales y datos confidenciales -

  • .env, .env.local, .env.production, .env.development
  • Variables de entorno del sistema (printenv, env)
  • Claves SSH (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/ *)
  • Credenciales en la nube (~/.aws/credentials, ~/.docker/config.json)
  • Credenciales de Git (~/.git-credentials, ~/.gitconfig)
  • Historial de comandos (últimos 100 comandos de ~/.bash_history)
  • Archivos del sistema (/etc/shadow, /etc/passwd)

El malware también crea persistencia en el host para sobrevivir a los reinicios del sistema, instalar un proxy SOCKS5, establecer un shell inverso a «67.217.57 [.] 240:888» e instalar un escáner React para explorar Internet en busca de una mayor propagación.

Se estima que la actividad, cuyo nombre en código es Operación PCPCat, ya ha violado 59.128 servidores. «La campaña muestra las características de las operaciones de inteligencia a gran escala y de la exfiltración de datos a escala industrial», afirma la empresa italiana.

La Fundación Shadowserver es rastreando actualmente más de 111 000 direcciones IP vulnerables a los ataques de React2Shell, con más de 77.800 instancias en EE. UU., seguida de Alemania (7.500), Francia (4.000) e India (2.300). Datos de GreyNoise muestra que hay 547 direcciones IP maliciosas de EE. UU., India, el Reino Unido, Singapur y los Países Bajos que han participado en los esfuerzos de explotación durante las últimas 24 horas.

(La historia se actualizó después de su publicación para incluir detalles adicionales de KswapDoor).

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.