La vulnerabilidad de seguridad conocida como reaccionar2shell está siendo explotado por actores de amenazas para entregar familias de malware como KSwapDoor y ZnDoor, según los hallazgos de Palo Alto Networks Unit 42 y NTT Security.
«KSwapDoor es una herramienta de acceso remoto diseñada profesionalmente teniendo en cuenta el sigilo», dijo en un comunicado Justin Moore, gerente senior de investigación de inteligencia sobre amenazas en Palo Alto Networks Unit 42.
«Construye una red de malla interna, lo que permite que los servidores comprometidos se comuniquen entre sí y evadan los bloqueos de seguridad. Utiliza cifrado de grado militar para ocultar sus comunicaciones y, lo más alarmante, presenta un modo 'dormido' que permite a los atacantes eludir los firewalls al despertar el malware con una señal secreta e invisible».
La empresa de ciberseguridad anotado que anteriormente fue clasificado erróneamente como BPFPuertaagregando que la puerta trasera de Linux ofrece shell interactivo, ejecución de comandos, operaciones de archivos y capacidades de escaneo de movimientos laterales. También se hace pasar por un demonio de intercambio de kernel de Linux legítimo para evadir la detección.
En un desarrollo relacionado, NTT Security dicho Las organizaciones en Japón están siendo blanco de ataques cibernéticos que explotan React2Shell para implementar ZnDoor, un malware que se ha evaluado para ser detectado en estado salvaje desde diciembre de 2023. Las cadenas de ataque implican ejecutar un comando bash para recuperar la carga útil de un servidor remoto (45.76.155[.]14) usando wget y ejecutándolo.
Un troyano de acceso remoto que contacta con la misma infraestructura controlada por el actor de amenazas para recibir comandos y ejecutarlos en el host. Algunos de los comandos admitidos se enumeran a continuación:
- shell, para ejecutar un comando
- Interactive_Shell, para iniciar un Shell interactivo.
- explorador, para obtener una lista de directorios
- explorer_cat, para leer y mostrar un archivo
- explorer_delete, para eliminar un archivo
- explorer_upload, para descargar un archivo del servidor
- explorer_download, para enviar archivos al servidor
- sistema, para recopilar información del sistema
- change_timefile, para cambiar la marca de tiempo de un archivo
- socket_quick_startstreams, para iniciar un proxy SOCKS5
- start_in_port_forward, para iniciar el reenvío de puertos
- stop_in_port, para detener el reenvío de puertos
La divulgación se produce cuando la vulnerabilidad, rastreada como CVE-2025-55182 (puntuación CVSS: 10,0), ha sido explotado por múltiples actores de amenazas, Google identificando al menos cinco grupos del nexo con China que lo han armado para distribuir una serie de cargas útiles –
- UNC6600, para entregar una utilidad de construcción de túneles llamada MINOCAT
- UNC6586, para entregar un descargador llamado SNOWLIGHT
- UNC6588, para entregar una puerta trasera llamada COMPOOD
- UNC6603, para ofrecer una versión actualizada de una puerta trasera Go llamada HISONIC que utiliza Cloudflare Pages y GitLab para recuperar la configuración cifrada y combinarse con la actividad legítima de la red.
- UNC6595, para entregar una versión Linux de ANGRYREBEL (también conocido como Noodle RAT)
Microsoft, en su propio aviso para CVE-2025-55182, dijo que los actores de amenazas han aprovechado la falla para ejecutar comandos arbitrarios para la post-explotación, incluida la configuración de shells inversos para servidores Cobalt Strike conocidos y luego eliminar herramientas de administración y monitoreo remoto (RMM) como MeshAgent, modificar el archivo autorizado_keys y habilitar el inicio de sesión de root.
Algunas de las cargas útiles entregadas en estos ataques incluyen VShell, EtherRAT, SNOWLIGHT, ShadowPad y XMRig. Los ataques también se caracterizan por el uso de puntos finales de Cloudflare Tunnel («*.trycloudflare.com») para evadir las defensas de seguridad, así como por realizar reconocimientos de los entornos comprometidos para facilitar el movimiento lateral y el robo de credenciales.
La actividad de recolección de credenciales, dijo el fabricante de Windows, estaba dirigida a los puntos finales de Azure Instance Metadata Service (IMDS) para Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y Tencent Cloud con el objetivo final de adquirir tokens de identidad para profundizar en las infraestructuras de la nube.
«Los atacantes también implementaron herramientas de descubrimiento de secretos como TruffleHog y Gitleaks, junto con scripts personalizados para extraer varios secretos diferentes», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «También se observaron intentos de recopilar credenciales de IA y nativas de la nube, como claves API de OpenAI, tokens de Databricks y credenciales de cuentas de servicio de Kubernetes. También se utilizaron Azure Command-Line Interface (CLI) (az) y Azure Developer CLI (azd) para obtener tokens».
En otra campaña detallado Según Beelzebub, se ha observado que los actores de amenazas explotan fallas en Next.js, incluyendo CVE-2025-29927 y CVE-2025-66478 (el mismo error de React2Shell antes de que fuera rechazado como duplicado), para permitir la extracción sistemática de credenciales y datos confidenciales –
- .env, .env.local, .env.producción, .env.desarrollo
- Variables de entorno del sistema (printenv, env)
- Claves SSH (~/.ssh/id_rsa, ~/.ssh/id_ed25519, /root/.ssh/*)
- Credenciales en la nube (~/.aws/credentials, ~/.docker/config.json)
- Credenciales de Git (~/.git-credentials, ~/.gitconfig)
- Historial de comandos (últimos 100 comandos de ~/.bash_history)
- Archivos del sistema (/etc/shadow, /etc/passwd)
El malware también procede a crear persistencia en el host para sobrevivir a los reinicios del sistema, instalar un proxy SOCKS5 y establecer un shell inverso para «67.217.57[.]240:888» e instale un escáner React para sondear Internet en busca de una mayor propagación.
Se estima que la actividad, denominada Operación PCPcat, ya ha vulnerado 59.128 servidores. «La campaña muestra características de operaciones de inteligencia a gran escala y de filtración de datos a escala industrial», afirmó la empresa italiana.
La Fundación Shadowserver es actualmente rastreando más de 111.000 direcciones IP vulnerables a ataques React2Shell, con más 77.800 casos en Estados Unidos, seguido de Alemania (7.500), Francia (4.000) e India (2.300). Datos de GreyNoise muestra que hay 547 direcciones IP maliciosas de EE. UU., India, Reino Unido, Singapur y Países Bajos que participan en los esfuerzos de explotación durante las últimas 24 horas.
Fuente