reaccionar2shell continúa siendo testigo de una intensa explotación, con actores de amenazas aprovechando la falla de seguridad de máxima gravedad en React Server Components (RSC) para entregar mineros de criptomonedas y una variedad de familias de malware previamente no documentadas, según nuevos hallazgos de Huntress.
Esto incluye una puerta trasera de Linux llamada PeerBlight, un túnel de proxy inverso llamado CowTunnel y un implante post-explotación basado en Go denominado ZinFoq.
La empresa de ciberseguridad dijo que ha observado atacantes dirigidos a numerosas organizaciones a través de CVE-2025-55182, una vulnerabilidad de seguridad crítica en RSC que permite la ejecución remota de código no autenticado. A partir del 8 de diciembre de 2025, estos esfuerzos se han dirigido a una amplia gama de sectores, pero de manera destacada a las industrias de la construcción y el entretenimiento.
El primer intento de explotación registrado en un punto final de Windows por parte de Huntress se remonta al 4 de diciembre de 2025, cuando un actor de amenazas desconocido aprovechó una instancia vulnerable de Next.js para eliminar un script de shell, seguido de comandos para eliminar un minero de criptomonedas y una puerta trasera de Linux.
En otros dos casos, se observó a los atacantes lanzando comandos de descubrimiento e intentando descargar varias cargas útiles desde un servidor de comando y control (C2). Algunas de las intrusiones notables también seleccionaron hosts de Linux para eliminar el minero de criptomonedas XMRig, sin mencionar que aprovecharon una herramienta GitHub disponible públicamente para identificar instancias vulnerables de Next.js antes de comenzar el ataque.
«Basándonos en el patrón consistente observado en múltiples puntos finales, incluyendo sondas de vulnerabilidad idénticas, pruebas de código shell e infraestructura C2, evaluamos que el actor de amenazas probablemente esté aprovechando herramientas de explotación automatizadas», dijeron los investigadores de Huntress. «Esto se ve respaldado aún más por los intentos de implementar cargas útiles específicas de Linux en puntos finales de Windows, lo que indica que la automatización no diferencia entre los sistemas operativos de destino».
Una breve descripción de algunas de las cargas útiles descargadas en estos ataques es la siguiente:
- sexo.shun script bash que recupera XMRig 6.24.0 directamente desde GitHub
- PeerBlightuna puerta trasera de Linux que comparte algunos códigos superpuestos con dos familias de malware RotaJakiro y Pink que salieron a la luz en 2021, instala un servicio systemd para garantizar la persistencia y se hace pasar por un proceso demonio «ksoftirqd» para evadir la detección.
- VacaTúnelun proxy inverso que inicia una conexión saliente a servidores Fast Reverse Proxy (FRP) controlados por el atacante, evitando de manera efectiva los firewalls que están configurados para monitorear solo las conexiones entrantes.
- ZinFoqun binario ELF de Linux que implementa un marco de trabajo posterior a la explotación con shell interactivo, operaciones de archivos, pivotación de red y capacidades de control de tiempo.
- d5.shun script dropper responsable de implementar el marco Sliver C2
- fn22.shuna variante «d5.sh» con un mecanismo de actualización automática agregado para buscar una nueva versión del malware y reiniciarlo.
- wocaosinm.shuna variante del malware Kaiji DDoS que incorpora capacidades de administración remota, persistencia y evasión.
PeerBlight admite capacidades para establecer comunicaciones con un servidor C2 codificado («185.247.224(.)41:8443»), lo que le permite cargar/descargar/eliminar archivos, generar un shell inverso, modificar permisos de archivos, ejecutar archivos binarios arbitrarios y actualizarse. La puerta trasera también utiliza un algoritmo de generación de dominio (DGA) y una red BitTorrent Distributed Hash Table (DHT) como mecanismos C2 alternativos.
«Al unirse a la red DHT, la puerta trasera se registra con un ID de nodo que comienza con el prefijo codificado LOLlolLOL», explicaron los investigadores. «Este prefijo de 9 bytes sirve como identificador de la botnet, y los 11 bytes restantes del ID del nodo DHT de 20 bytes son aleatorios».
«Cuando la puerta trasera recibe respuestas DHT que contienen listas de nodos, busca otros nodos cuyas ID comiencen con LOLlolLOL. Cuando encuentra un nodo coincidente, sabe que se trata de otra máquina infectada o de un nodo controlado por un atacante que puede proporcionar la configuración C2».
Huntress dijo que identificó más de 60 nodos únicos con el prefijo LOLlolLOL, y agregó que se deben cumplir múltiples condiciones para que un bot infectado comparta su configuración C2 con otro nodo: una versión de cliente válida, disponibilidad de configuración en el lado del bot que responde y el ID de transacción correcto.
Incluso cuando se cumplen todas las condiciones necesarias, los bots están diseñados de manera que solo comparten la configuración aproximadamente un tercio de las veces según una verificación aleatoria, posiblemente en un intento por reducir el ruido de la red y evitar la detección.
ZinFoq, de manera similar, se dirige a su servidor C2 y está equipado para analizar instrucciones entrantes para ejecutar comandos usando «/bin/bash», enumerar directorios, leer o eliminar archivos, descargar más cargas útiles de una URL específica, filtrar archivos e información del sistema, iniciar/detener el proxy SOCKS5, habilitar/deshabilitar el reenvío de puertos TCP, alterar el acceso a archivos y los tiempos de modificación, y establecer una conexión de shell de pseudo terminal inverso (PTY).
ZinFoq también toma medidas para borrar el historial de bash y se disfraza como uno de los 44 servicios legítimos del sistema Linux (por ejemplo, «/sbin/audispd», «/usr/sbin/ModemManager», «/usr/libexec/colord» o «/usr/sbin/cron -f») para ocultar su presencia.
Se recomienda a las organizaciones que dependen de reaccionar-servidor-dom-webpack, reaccionar-servidor-dom-parcel o reaccionar-servidor-dom-turbopack que actualicen de inmediato, dada la «facilidad potencial de explotación y la gravedad de la vulnerabilidad», dijo Huntress.
El desarrollo se produce cuando la Fundación Shadowserver dijo que detectó más de 165.000 direcciones IP y 644.000 dominios con código vulnerable al 8 de diciembre de 2025, después de «mejoras en la orientación del escaneo». Más de 99.200 casos se encuentran en Estados Unidos, seguido de Alemania (14.100), Francia (6.400) e India (4.500).
