reaccionar2shell continúa siendo testimonio de una intensa explotación, con actores de amenazas aprovechando la equivocación de seguridad de máxima alcance en React Server Components (RSC) para entregar mineros de criptomonedas y una variedad de familias de malware previamente no documentadas, según nuevos hallazgos de Huntress.
Esto incluye una puerta trasera de Linux llamamiento PeerBlight, un túnel de proxy inverso llamado CowTunnel y un implante post-explotación basado en Go denominado ZinFoq.
La empresa de ciberseguridad dijo que ha observado atacantes dirigidos a numerosas organizaciones a través de CVE-2025-55182, una vulnerabilidad de seguridad crítica en RSC que permite la ejecución remota de código no autenticado. A partir del 8 de diciembre de 2025, estos esfuerzos se han dirigido a una amplia escala de sectores, pero de guisa destacada a las industrias de la construcción y el entretenimiento.
El primer intento de explotación registrado en un punto final de Windows por parte de Huntress se remonta al 4 de diciembre de 2025, cuando un actor de amenazas desconocido aprovechó una instancia frágil de Next.js para eliminar un script de shell, seguido de comandos para eliminar un minero de criptomonedas y una puerta trasera de Linux.
En otros dos casos, se observó a los atacantes lanzando comandos de descubrimiento e intentando descargar varias cargas aperos desde un servidor de comando y control (C2). Algunas de las intrusiones notables incluso seleccionaron hosts de Linux para eliminar el minero de criptomonedas XMRig, sin mencionar que aprovecharon una utensilio GitHub adecuado públicamente para identificar instancias vulnerables de Next.js antaño de comenzar el ataque.
“Basándonos en el patrón consistente observado en múltiples puntos finales, incluyendo sondas de vulnerabilidad idénticas, pruebas de código shell e infraestructura C2, evaluamos que el actor de amenazas probablemente esté aprovechando herramientas de explotación automatizadas”, dijeron los investigadores de Huntress. “Esto se ve respaldado aún más por los intentos de implementar cargas aperos específicas de Linux en puntos finales de Windows, lo que indica que la automatización no diferencia entre los sistemas operativos de destino”.
Una breve descripción de algunas de las cargas aperos descargadas en estos ataques es la venidero:
- sexo.shun script bash que recupera XMRig 6.24.0 directamente desde GitHub
- PeerBlightuna puerta trasera de Linux que comparte algunos códigos superpuestos con dos familias de malware RotaJakiro y Pink que salieron a la luz en 2021, instala un servicio systemd para asegurar la persistencia y se hace producirse por un proceso demonio “ksoftirqd” para sortear la detección.
- VacaTúnelun proxy inverso que inicia una conexión saliente a servidores Fast Reverse Proxy (FRP) controlados por el atacante, evitando de guisa efectiva los firewalls que están configurados para monitorear solo las conexiones entrantes.
- ZinFoqun binario ELF de Linux que implementa un situación de trabajo posterior a la explotación con shell interactivo, operaciones de archivos, pivotación de red y capacidades de control de tiempo.
- d5.shun script dropper responsable de implementar el situación Sliver C2
- fn22.shuna reforma “d5.sh” con un mecanismo de aggiornamento cibernética auxiliar para agenciárselas una nueva traducción del malware y reiniciarlo.
- wocaosinm.shuna reforma del malware Kaiji DDoS que incorpora capacidades de oficina remota, persistencia y despreocupación.
PeerBlight admite capacidades para establecer comunicaciones con un servidor C2 codificado (“185.247.224(.)41:8443”), lo que le permite cargar/descargar/eliminar archivos, producir un shell inverso, modificar permisos de archivos, ejecutar archivos binarios arbitrarios y actualizarse. La puerta trasera incluso utiliza un cálculo de concepción de dominio (DGA) y una red BitTorrent Distributed Hash Table (DHT) como mecanismos C2 alternativos.
“Al unirse a la red DHT, la puerta trasera se registra con un ID de nodo que comienza con el prefijo codificado LOLlolLOL”, explicaron los investigadores. “Este prefijo de 9 bytes sirve como identificador de la botnet, y los 11 bytes restantes del ID del nodo DHT de 20 bytes son aleatorios”.
“Cuando la puerta trasera recibe respuestas DHT que contienen listas de nodos, averiguación otros nodos cuyas ID comiencen con LOLlolLOL. Cuando encuentra un nodo coincidente, sabe que se tráfico de otra máquina infectada o de un nodo controlado por un atacante que puede proporcionar la configuración C2”.
Huntress dijo que identificó más de 60 nodos únicos con el prefijo LOLlolLOL, y agregó que se deben cumplir múltiples condiciones para que un bot infectado comparta su configuración C2 con otro nodo: una traducción de cliente válida, disponibilidad de configuración en el flanco del bot que replica y el ID de transacción correcto.
Incluso cuando se cumplen todas las condiciones necesarias, los bots están diseñados de guisa que solo comparten la configuración aproximadamente un tercio de las veces según una comprobación aleatoria, posiblemente en un intento por sujetar el ruido de la red y evitar la detección.
ZinFoq, de guisa similar, se dirige a su servidor C2 y está equipado para analizar instrucciones entrantes para ejecutar comandos usando “/bin/bash”, enumerar directorios, descifrar o eliminar archivos, descargar más cargas aperos de una URL específica, filtrar archivos e información del sistema, iniciar/detener el proxy SOCKS5, habilitar/deshabilitar el reenvío de puertos TCP, alterar el entrada a archivos y los tiempos de modificación, y establecer una conexión de shell de pseudo terminal inverso (PTY).
ZinFoq incluso toma medidas para borrar el historial de bash y se disfraza como uno de los 44 servicios legítimos del sistema Linux (por ejemplo, “/sbin/audispd”, “/usr/sbin/ModemManager”, “/usr/libexec/colord” o “/usr/sbin/cron -f”) para ocultar su presencia.
Se recomienda a las organizaciones que dependen de reaccionar-servidor-dom-webpack, reaccionar-servidor-dom-parcel o reaccionar-servidor-dom-turbopack que actualicen de inmediato, dada la “facilidad potencial de explotación y la alcance de la vulnerabilidad”, dijo Huntress.
El expansión se produce cuando la Fundación Shadowserver dijo que detectó más de 165.000 direcciones IP y 644.000 dominios con código frágil al 8 de diciembre de 2025, a posteriori de “mejoras en la orientación del escaneo”. Más de 99.200 casos se encuentran en Estados Unidos, seguido de Alemania (14.100), Francia (6.400) e India (4.500).
