Dos meses después de que se revelara una vulnerabilidad crítica en React Server Components, los investigadores advierten sobre un cambio significativo en la actividad de amenazas dirigidas a la falla.
La vulnerabilidad original, rastreada como CVE-2025-55182permite a un atacante no autenticado lograr la ejecución remota de código debido a una deserialización insegura de cargas útiles.
La ola inicial de ataques en diciembre provocó cientos de sistemas comprometidos como grupos amenazadores vinculados al Estado y otros actores involucrados en una explotación generalizada. La vulnerabilidad, denominada React2Shell, ha sido atacada en una amplia gama de industrias desde que fue descubierta a fines de noviembre.
Los investigadores de GreyNoise informaron el lunes de un cambio distintivo en los siete días anteriores, ya que más de la mitad de la actividad de amenazas ahora emanaba de solo dos direcciones IP. según una publicación de blog. Antes del cambio, había 1.083 fuentes únicas vinculadas a la actividad de amenazas, según los investigadores.
GreyNoise dijo que sus sensores detectaron más de 1,4 millones de intentos de explotar CVE-2025-55182 durante el período de siete días.
Los investigadores advirtieron que la explotación parece estar centrada en la comunidad de desarrolladores.
«Estamos viendo fuertes ataques a los puertos en los que se ejecutan los servidores de desarrollo de software», dijeron investigadores de GreyNoise a Cybersecurity Dive. «Las organizaciones que exponen la infraestructura de desarrollo a Internet están en riesgo».
Una de las dos nuevas fuentes «recupera binarios de criptominería de servidores de prueba», mientras que la segunda «abre shells inversos a las IP de escaneo», según el blog. No está claro de inmediato si la nueva actividad proviene de dos actores distintos o de un solo actor que utiliza infraestructura compartimentada.
Los investigadores de VulnCheck informan de un aumento reciente en el tráfico malicioso, ya que su red de detección detectó poco menos de 1000 intentos de explotación dirigidos a CVE-2025-55812 durante los últimos tres días.
La mayoría de esos intentos provinieron de las mismas dos direcciones IP a las que se hace referencia en el informe GreyNoise, dijo el CTO de VulnCheck, Jacob Baines, a Cybersecurity Dive.
GreyNoise dijo que las organizaciones que aún no han aplicado parches deberían asumir que han sido atacadas.
Por separado, React a finales del mes pasado reveló nuevas vulnerabilidades de denegación de servicio, rastreado como CVE-2026-23864.
Nota del editor: Actualizaciones con comentarios de VulnCheck.
Fuente