Los investigadores de Microsoft advirtieron que «varios cientos de máquinas» en una amplia gama de organizaciones se han visto comprometidas mediante la explotación de una vulnerabilidad crítica en los componentes del servidor React. según una publicación de blog publicada el lunes.
La vulnerabilidad, rastreada como CVE-2025-55182permite a un atacante no autenticado lograr la ejecución remota de código debido a una deserialización insegura de cargas útiles enviadas a los puntos finales de la función React Server.
React es una biblioteca de JavaScript que se utiliza para crear interfaces de usuario. React Server Components es un ecosistema de marcos, paquetes y paquetes que permiten que las aplicaciones React 19 ejecuten partes de su lógica en el servidor en lugar del navegador, según el blog.
La falla, denominada React2Shell, tiene una puntuación de gravedad de 10 y se considera fácil de explotar ya que las configuraciones predeterminadas se consideran vulnerables.
Microsoft señaló que el marco se usa ampliamente en entornos empresariales y decenas de miles de dispositivos se ejecutan en varios miles de organizaciones que usan React o aplicaciones basadas en React.
Investigadores del grupo de inteligencia sobre amenazas de Google advirtió en una publicación de blog el viernes que múltiples actores de espionaje y grupos criminales oportunistas han apuntado a React2Shell.
Un grupo de espionaje del nexo con China rastreado como UNC6600 ha estado explotando la falla para entregar el tunelizador Minocat que ayuda a los atacantes a mantener comunicaciones encubiertas con un sistema comprometido, según GTIG..
Además, se ha descubierto que otros dos actores de amenazas vinculados a China (UNC6588 y UNC6603) colocan puertas traseras en los sistemas de las víctimas en ataques dirigidos a la vulnerabilidad.
Los investigadores del GTIG también han observado actores sospechosos vinculados a Irán que explotan la falla, pero no proporcionaron detalles adicionales sobre esa actividad.
Mientras tanto, los investigadores de Palo Alto Networks han implementación observada de una nueva puerta trasera llamada KSwapDoorque es una herramienta de acceso remoto diseñada profesionalmente. Según los investigadores, la herramienta se utiliza para construir una red de malla interna que permite que los servidores comprometidos se comuniquen entre sí.
Según Microsoft, también se ha visto a atacantes ejecutando comandos arbitrarios, incluidos shells inversos a servidores Cobalt Strike conocidos, en ataques React2Shell. Han utilizado herramientas de gestión y monitoreo remoto, incluido MeshAgent, para ganar persistencia.
Robo de credenciales en la nube
Microsoft dijo que las credenciales de servicios en la nube han sido el objetivo de la ola de ataques, incluidos los puntos finales de Azure Instance Metadata Service para Azure, Amazon Web Services, Google Cloud Platform y Tencent Cloud.
La compañía dijo que la actividad de explotación comenzó el 5 de diciembre. La vulnerabilidad fue reportada a Reaccionar a finales de noviembre por el investigador de seguridad Lachlan Davidson a través del programa Meta Bug Bounty.
React emitió un parche a principios de este mes para la falla original, aunque a finales de la semana pasada, Se revelaron fallas adicionales, incluyendo CVE-2025-55814 y CVE-2025-67779.
Fuente