Se ha observado que dos grupos de piratas informáticos con vínculos con China utilizan como arma la falla de seguridad recientemente revelada en React Server Components (RSC) pocas horas después de que se hiciera pública.
La vulnerabilidad en cuestión es CVE-2025-55182 (puntuación CVSS: 10.0), también conocida como React2Shell, que permite la ejecución remota de código no autenticado. Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de React.
Según un nuevo informe compartido por Amazon Web Services (AWS), se ha observado que dos actores de amenazas vinculados a China conocidos como Earth Lamia y Jackpot Panda intentan explotar la falla de seguridad de máxima gravedad.
«Nuestro análisis de los intentos de explotación en la infraestructura de honeypot de AWS MadPot ha identificado la actividad de explotación de direcciones IP e infraestructura históricamente vinculadas a actores de amenazas conocidos del nexo entre el estado de China», dijo CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Específicamente, el gigante tecnológico dijo que identificó la infraestructura asociada con Earth Lamia, un grupo nexo con China que se atribuyó a ataques que explotaban una falla crítica de SAP NetWeaver (CVE-2025-31324) a principios de este año.
El equipo de hackers se ha dirigido a sectores de servicios financieros, logística, comercio minorista, empresas de TI, universidades y organizaciones gubernamentales en América Latina, Medio Oriente y el Sudeste Asiático.
Los esfuerzos de ataque también se originaron en la infraestructura relacionada con otro actor de amenazas cibernéticas del nexo con China conocido como Jackpot Panda, que ha señalado principalmente entidades que participan o apoyan operaciones de juegos de azar en línea en el este y sudeste de Asia.
Se estima que Jackpot Panda, según CrowdStrike, está activo desde al menos 2020 y se ha dirigido a relaciones de terceros confiables en un intento de implementar implantes maliciosos y obtener acceso inicial. En particular, el actor de amenazas estuvo relacionado con el compromiso de la cadena de suministro de una aplicación de chat conocida como Comm100 en septiembre de 2022. ESET rastrea la actividad como Operación ChattyGoblin.
Desde entonces, se supo que un contratista de piratería chino, I-Soon, pudo haber estado involucrado en el ataque a la cadena de suministro, citando superposiciones de infraestructura. Curiosamente, los ataques organizados por el grupo en 2023 se han centrado principalmente en víctimas de habla china, lo que indica una posible vigilancia interna.
«A partir de mayo de 2023, el adversario utilizó un instalador troyanizado para CloudChat, una aplicación de chat con sede en China popular entre las comunidades de juego ilegales de habla china en China continental», dijo CrowdStrike en su Informe de amenazas globales publicado el año pasado.
«El instalador troyanizado servido desde el sitio web de CloudChat contenía la primera etapa de un proceso de varios pasos que finalmente implementó XShade, un novedoso implante con código que se superpone con el exclusivo implante CplRAT de Jackpot Panda».
Amazon dijo que también detectó actores de amenazas que explotan 2025-55182 junto con otras fallas de día N, incluida una vulnerabilidad en la cámara NUUO (CVE-2025-1338, puntuación CVSS: 7,3), lo que sugiere intentos más amplios de escanear Internet en busca de sistemas sin parches.
La actividad observada implica intentos de ejecutar comandos de descubrimiento (por ejemplo, whoami), escribir archivos («/tmp/pwned.txt») y leer archivos que contienen información confidencial (por ejemplo, «/etc/passwd»).
«Esto demuestra un enfoque sistemático: los actores de amenazas monitorean las revelaciones de nuevas vulnerabilidades, integran rápidamente exploits públicos en su infraestructura de escaneo y realizan campañas amplias a través de múltiples vulnerabilidades y exposiciones comunes (CVE) simultáneamente para maximizar sus posibilidades de encontrar objetivos vulnerables», dijo Moses.
