Se ha observado que dos grupos de piratas informáticos con vínculos con China utilizan como pertrechos la equivocación de seguridad recientemente revelada en React Server Components (RSC) pocas horas a posteriori de que se hiciera pública.
La vulnerabilidad en cuestión es CVE-2025-55182 (puntuación CVSS: 10.0), igualmente conocida como React2Shell, que permite la ejecución remota de código no autenticado. Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de React.
Según un nuevo crónica compartido por Amazon Web Services (AWS), se ha observado que dos actores de amenazas vinculados a China conocidos como Earth Lamia y Jackpot Panda intentan explotar la equivocación de seguridad de máxima pesadez.
“Nuestro examen de los intentos de explotación en la infraestructura de honeypot de AWS MadPot ha identificado la actividad de explotación de direcciones IP e infraestructura históricamente vinculadas a actores de amenazas conocidos del conexión entre el estado de China”, dijo CJ Moses, CISO de Amazon Integrated Security, en un crónica compartido con The Hacker News.
Específicamente, el titán tecnológico dijo que identificó la infraestructura asociada con Earth Lamia, un reunión conexión con China que se atribuyó a ataques que explotaban una equivocación crítica de SAP NetWeaver (CVE-2025-31324) a principios de este año.
El equipo de hackers se ha dirigido a sectores de servicios financieros, abastecimiento, comercio minorista, empresas de TI, universidades y organizaciones gubernamentales en América Latina, Medio Oriente y el Sudeste Oriental.
Los esfuerzos de ataque igualmente se originaron en la infraestructura relacionada con otro actor de amenazas cibernéticas del conexión con China conocido como Jackpot Panda, que ha señalado principalmente entidades que participan o apoyan operaciones de juegos de azar en lista en el este y sudeste de Asia.
Se estima que Jackpot Panda, según CrowdStrike, está activo desde al menos 2020 y se ha dirigido a relaciones de terceros confiables en un intento de implementar implantes maliciosos y obtener ataque auténtico. En particular, el actor de amenazas estuvo relacionado con el compromiso de la sujeción de suministro de una aplicación de chat conocida como Comm100 en septiembre de 2022. ESET rastrea la actividad como Operación ChattyGoblin.
Desde entonces, se supo que un contratista de piratería chino, I-Soon, pudo suceder estado involucrado en el ataque a la sujeción de suministro, citando superposiciones de infraestructura. Curiosamente, los ataques organizados por el reunión en 2023 se han centrado principalmente en víctimas de palabra china, lo que indica una posible vigilancia interna.
“A partir de mayo de 2023, el adversario utilizó un instalador troyanizado para CloudChat, una aplicación de chat con sede en China popular entre las comunidades de muestrario ilegales de palabra china en China continental”, dijo CrowdStrike en su Referencia de amenazas globales publicado el año pasado.
“El instalador troyanizado servido desde el sitio web de CloudChat contenía la primera etapa de un proceso de varios pasos que finalmente implementó XShade, un novedoso implante con código que se superpone con el exclusivo implante CplRAT de Jackpot Panda”.
Amazon dijo que igualmente detectó actores de amenazas que explotan 2025-55182 próximo con otras fallas de día N, incluida una vulnerabilidad en la cámara NUUO (CVE-2025-1338, puntuación CVSS: 7,3), lo que sugiere intentos más amplios de escanear Internet en escudriñamiento de sistemas sin parches.
La actividad observada implica intentos de ejecutar comandos de descubrimiento (por ejemplo, whoami), escribir archivos (“/tmp/pwned.txt”) y observar archivos que contienen información confidencial (por ejemplo, “/etc/passwd”).
“Esto demuestra un enfoque sistemático: los actores de amenazas monitorean las revelaciones de nuevas vulnerabilidades, integran rápidamente exploits públicos en su infraestructura de escaneo y realizan campañas amplias a través de múltiples vulnerabilidades y exposiciones comunes (CVE) simultáneamente para maximizar sus posibilidades de encontrar objetivos vulnerables”, dijo Moses.
Cloudflare omisión a la interrupción del parche React2Shell
El exposición se produce cuando Cloudflare experimentó una interrupción breve pero generalizada que provocó que los sitios web y las plataformas en lista devolvieran un mensaje de “Error interno del servidor 500”.
“Un cambio realizado en la forma en que el Web Application Firewall de Cloudflare analiza las solicitudes provocó que la red de Cloudflare no estuviera arreglado durante varios minutos esta mañana”, dijo el proveedor de infraestructura web en un comunicado el viernes. “Esto no fue un ataque; nuestro equipo implementó el cambio para ayudar a mitigar la vulnerabilidad en toda la industria revelada esta semana en React Server Components”.
